文章首發於公眾號:軟件測試er 歡迎查看最新文章
BurpSuite介紹:
BurpSuite是一款信息安全從業人員必備的集成型的安全性測試工具,它采用自動測試和半自動測試的方式,包含了:
Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer通過攔截HTTP/HTTPS的web數據包,充當瀏覽器和相關應用程序的中間人,進行攔截、修改、重放數據包進行測試。Fiddler介紹:
Fiddler是一個http協議調試代理工具,它能夠記錄並檢查所有你的電腦和互聯網之間的http通訊,設置斷點,查看所有的“進出”Fiddler的數據(指cookie,html,js,css等文件)。 就是上篇提到的burpsuite,簡單看下這個工具的頁面。具體使用可見整理的教程。
1.java環境配置
參考https://blog.csdn.net/qq_41436122/article/details/82620080https://blog.csdn.net/qq_26762031/article/details/81591393
2.burpsuite下載
官網:https://portswigger.net/burp破解版1.71:鏈接:https://pan.baidu.com/s/136mCXe4vlDJ5ZDaqnVK_EQ提取碼:0sn1
破解版2.0:鏈接:https://pan.baidu.com/s/1NJlwUWvIXHO8iXDMBwzn1A提取碼:l2bc
3.安裝激活
https://www.jianshu.com/p/edbd68d7c341
4.啟動burpsuite
激活后直接打開burpsuite_pro_v1.7.11仍是未激活狀態,每次都需要從burp-loader-keygen處點擊run打開比較方便的是cmd打開java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.11.jar可將以上語句保存到txt文件,修改后綴為bat。雙擊bat即可啟動burpsuite
5.設置代理
參考https://www.cnblogs.com/JetpropelledSnake/p/8983676.html
6.使用教程
Proxy(基礎功能,攔截、改包等):https://blog.csdn.net/weixin_38079422/article/details/80729158實戰指南https://t0data.gitbooks.io/burpsuite/content/
7. 基於Burpsuite的安全測試(結合場景)
這個博客的基於Burpsuite的安全測試系列https://blog.csdn.net/chang_jinling/article/list/1?
下篇用登錄功能講講安全性方面的設計點~
文章首發於公眾號:軟件測試er 歡迎查看最新文章