前言
大家好,我是小白,下面開始我的表演,以下內容如有雷同純屬巧合,靴靴。 (鞠躬
學到什么就寫什么,可能有點亂哈。
Burp Suite 是一款用於攻擊 web 應用程序的集成平台,包含了許多工具,設置了不同的模塊和接口,且模塊功能之間是互通關聯的。
安裝運行
Burp Suite 使用 Java 開發的,運行時需要依賴於 Java 運行環境,因此需要安裝 jdk 。
Burp Suite 肥宅快樂版:https://pan.baidu.com/s/1muN8BuDMfkDE97kPG-kHCg 提取碼:yyry
下載后直接安裝使用,媽媽再也不用擔心我的學習,so easy~
jdk 安裝環境就傻瓜式操作,配置一下環境變量,在系統變量 path 中加上 jdk 的 bin 目錄路徑。
最后,設置代理服務器,以下是 Google 瀏覽器代理設置步驟:
打開瀏覽器設置---->高級設置------>打開代理設置。
應用場景
(以下幾行文字源自B視頻)
1.HTTP服務端接口測試
2.HTTP客戶端和HTTP服務端通信測試
3.cookie統計分析
4.HTTP服務器web安全掃描
5.web常用編碼和解碼
6.web頁面爬取
7.字符串隨機性簡單分析
8.文件差異對比分析
使用教程
默認情況下,burp suite 只會攔截請求的消息,如果想要攔截其他類型,可以手動設置。
勾選以下攔截選項進行修改。
啊對了,建議重新調整下字體,因為是用英文開發,所以中文字體顯示時可能會出現亂碼。
以下選項修改字體大小和字體樣式。
Burp Suite 模塊介紹
Target(目標)
site map(站點地圖)
左側會顯示所有通過服務器代理的url,右側顯示所訪問url的詳盡信息。
Target Scope
勾選使用高級范圍控制 (大概是這么翻譯的叭=.=)
包含兩部分功能:包括范圍、去除范圍。
proxy(代理)
簡單畫了下 proxy 的作用:
Intercept(截斷)
默認情況下顯示為“intercept is on”,處於攔截功能狀態,在瀏覽器輸入URL並回車,經過burp的數據流量將會被攔截不發送,點擊“forward”傳輸本次數據,“drop”丟棄本次數據。
Raw
顯示web請求的raw格式,並且可以手工修改其中的信息。
HTTP history 截取數據流量的歷史記錄。
options 可選項配置。
Intruder
可以在原始請求的基礎上,修改各種請求參數。
使用步驟:
1.完成瀏覽器的代理設置。
2.在proxy下關閉攔截功能。
3.HTTP history中找到存在問題的請求URL,右擊選擇發送到intruder。
4.清除自動默認選擇的猜測或破解信息的位置。(也可以手工選擇、添加位置)
position下選擇攻擊類型
payload
最后回到position頁面,點擊stack attack ,發起攻擊。
Scan
略。。好吧,我的肥仔快樂版里沒有這個模塊,肥仔失去快樂。