, 本章目標:
1. 安裝並配置好Burpsuite
2. 了解其各個模塊功能
Burpsuite介紹
Burp Suite 是用於攻擊web應用程序的集成平台。它包含了許多工具,並為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理並顯示HTTP消息,持久性,認證,代理,日志,警報的一個強大的可擴展的框架。
在網上找了很多版本, 經肉測, 以下版本可用, License到2018-12-3.先用着咯, 到時候不能用了再找解決.
甩鏈接(鏈接: https://pan.baidu.com/s/1ghhahZd 密碼: jx7u)
下載好以后, 先配置好工具.
- 安裝JAVA JDK, 配置其環境變量. 此處不再贅述, 如果不太清楚, 度娘上很多文章.
- 啟動Burpsuite
- 雙擊BurpHelper.jar
2. 導入Burpsuite的Jar包, 點擊run
3. 點擊accept, 再next, 最后再點擊start Burp, 這樣工具就正式啟動了.
BurpSuite具有以下模塊:
-
Target:包含了SiteMap,用你的目標應用程序的詳細信息。它可以讓你定義哪些對象在范圍上為你目前的工作,也可以讓你手動測試漏洞的過程,Target分為site map和scope兩個選項卡。
-
Proxy:Proxy相當於BurpSuite的心臟,通過攔截,查看和修改所有的請求和響應您的瀏覽器與目標Web服務器之間傳遞。
-
Spider:通過跟蹤 HTML 和 JavaScript以及提交的表單中的超鏈接來映射目標應用程序,它還使用了一些其他的線索,如目錄列表,資源類型的注釋,以及robots.txt文件。結果會在站點地圖中以樹和表的形式顯示出來,提供了一個清楚並非常詳細的目標應用程序視圖。Burp Spider 能使你清楚地了解到一個 web 應用程序是怎樣工作的,讓你避免進行大量的手動任務而浪費時間,在跟蹤鏈接,提交表單,精簡 HTNL 源代碼。可以快速地確人應用程序的潛在的脆弱功能,還允許你指定特定的漏洞,如 SQL 注入,路徑遍歷。
-
Scanner:是一個進行自動發現web應用程序的安全漏洞的工具。它是為滲透測試人員設計的,並且它和你現有的手動執行進行的 web 應用程序半自動滲透測試的技術方法很相似。
-
intruder:是burp 套件的優勢,他提供一組特別有用的功能。它可以自動實施各種定制攻擊,包括資源枚舉、數據提取、模糊測試等常見漏洞等。在各種有效的掃描工具中,它能夠以最細化、最簡單的方式訪問它生產的請求與響應,允許組合利用個人智能與該工具的控制優點。
-
sequencer: 對會話令牌,會話標識符或其他出於安全原因需要隨機產生的鍵值的可預測性進行分析。
-
Decoder: 轉化成規范的形式編碼數據,或轉化成各種形式編碼和散列的原始數據。它能夠智能識別多種編碼格式,使用啟發式技術。
-
Compare: 是一個簡單的工具,執行比較數據之間的任何兩個項目(一個可視化的“差異”)。在攻擊一個Web 應用程序的情況下,這一要求通常會出現當你想快速識別兩個應用程序的響應之間的差異(例如,入侵者攻擊的過程中收到的兩種反應之間之間,或登錄失敗的反應使用有效的和無效的用戶名)之間,或兩個應用程序請求(例如,確定不同的行為引起不同的請求參數)