運行環境java
1、App安全測試工具:
BurpSuite
簡介:
Burp Suite 是用於攻擊web 應用程序的集成平台。它包含了許多工具,並為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。
所有的工具都共享一個能處理並顯示HTTP 消息,持久性,認證,代理,日志,警報的一個強大的可擴展的框架
2、工具箱:
Proxy——是一個攔截HTTP/S的代理服務器,作為一個在瀏覽器和目標應用程序之間的中間人,允許你攔截,查看,修改在兩個方向上的原始數據流。
Spider——是一個應用智能感應的網絡爬蟲,它能完整的枚舉應用程序的內容和功能。
Scanner[僅限專業版]——是一個高級的工具,執行后,它能自動地發現web 應用程序的安全漏洞。
Intruder——是一個定制的高度可配置的工具,對web應用程序進行自動化攻擊,如:枚舉標識符,收集有用的數據,以及使用fuzzing 技術探測常規漏洞。
Repeater——是一個靠手動操作來補發單獨的HTTP 請求,並分析應用程序響應的工具。
Sequencer——是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。
Decoder——是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。
Comparer——是一個實用的工具,通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。
3、火狐設置代理:
【代理設置后無法使用網絡】(代理設置后可以打開:http://burp/點擊右上角,下載證書,安裝證書就可以正常使用網絡)
1)、 打開Firefox,點擊界面右上角的“打開菜單”按鈕
2)、在彈出的下拉框中,點擊中間的“選項”按鈕
3)、 然后在選項對話框中點擊頂部最右邊的“高級”按鈕
4)、點擊“配置Firefox如何連接至國際互聯網”右邊的設置按鈕
5)、 選擇手動配置代理,輸入可用的代理IP地址和端口。比如.mozilla.org,.net.nz,192.168.1.0:24
6)、 最后點擊確定即可
4、Burp Suite亂碼問題:
user options——Display——Http Message Display
5、Burp Suite設置代理
Proxy——Options
6、Burp Suite抓包:
首先要設置,Burp Suite代理,然后設置瀏覽器在同一代理中,執行要抓包的功能【前置條件】:Proxy——intercept is on (攔截請求)如下圖,然后執行功能,就會攔截請求跳轉到Burp Suite界面,可以修改參數
