burpsuite2.0的安裝和配置
burpsuite_pro_v2.0beta
jdk1.8.0_201
windows10
具體安裝過程百度
簡介
burpsuite是基於Java的用於web安全的工具,能夠進行爬蟲、代理、編碼、密碼爆破等任務,並支持對XSS漏洞、文件包含等漏洞的主動掃描或被動掃描。burpsuite2.0具體分為以下11個模塊:
- Dashboard(儀表盤)——顯示任務、實踐日志等。
- Target(目標)——顯示目標目錄結構的的一個功能。
- Proxy(代理)——攔截HTTP/S的代理服務器,作為一個在瀏覽器和目標應用程序之間的中間人,允許你攔截,查看,修改在兩個方向上的原始數據流。
- Intruder(入侵)——一個定制的高度可配置的工具,對web應用程序進行自動化攻擊,如:枚舉標識符,收集有用的數據,以及使用fuzzing 技術探測常規漏洞。
- Repeater(中繼器)——一個靠手動操作來觸發單獨的HTTP 請求,並分析應用程序響應的工具。
- Sequencer(會話)——用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。
- Decoder(解碼器)——進行手動執行或對應用程序數據者智能解碼編碼的工具。
- Comparer(對比)——通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。
- Extender(擴展)——可以讓你加載Burp Suite的擴展,使用你自己的或第三方代碼來擴展Burp Suit的功能。
- Options(設置)——包括Project options和User options,是對Burp Suite的一些設置。
代理功能
1、設置基本代理信息,默認監聽8080端口,但是為了避免與tomcat沖突,修改為監聽8090端口。並注意勾選Running。
2、導出burp的證書
點擊Import / export CA certificate,
選擇Certificate in DER format,
Select file,
選擇文件夾並命名文件名為burp.der
3、在firefox上配置代理和導入證書
4、burpsuite設置攔截開啟與關閉