定義
1、burp suite是一款集成化的滲透測試工具,包含了很多功能,可以幫助我們高效完成對
web應用程序的滲透測試和攻擊。
2、burp suite有java語言編寫,基於java自身跨平台性,是這款軟件學些和使用起來更方便
它需要手動配置一些參數,觸發一些自動化流程,然后才會開始工作。
3、Burp Suite可執行程序是Java文件類型的jar文件,免費版可以從官方上下載。免費版的
會有很多限制,無法使用高級工具,如果想使用更多的高級功能
呢,需要付費購買專業版。專業版與免費版的主要區別有以下三點:
• 1.Burp Scanner
• 2.工作空間的保存和恢復
• 3.拓展工具
安裝環境
1、java-JDK安裝
2、Burp Suite工具
想必大家對JDK安裝都很熟悉了,這里就不做過多的介紹 。安裝好后,只需把安裝路徑bin目錄加到系統環境變量就行了,java -version測試下是否配置成功。
如果對JDK環境變量不清楚的,可以看下以下文章
https://blog.csdn.net/qq_38125058/article/details/82890856
工具使用
Burp Suite安裝成功后,以下就是它的大致圖形界面,菜單欄有很多功能選項,但我們這次只會用到代理,與編碼器選項。如果想多了解Burp Suite可以去看下此鏈接
https://t0data.gitbooks.io/burpsuite/content/chapter1.html
哈哈,講了這么多廢話,下面給大家做一個簡單抓包測試例子吧,理論學的再多還不如結合實際練習一下
步驟一:設置代理地址和端口(端口可以隨便設置),地址為本機地址:
注:因本人瀏覽器兼容問題,這次實驗采用OWASP Mantra Janus瀏覽器測試,這個瀏覽器集成了很多插件,特別適合滲透使用。
步驟二:配置瀏覽器代理,找到左邊插件FoxyProxy Standard插件
添加代理服務器,這里地址、端口要與BurpSuite保持一致,否者在執行抓包時Burp Suite抓不到包
步驟三:現在准備工作已完成,那我們開始抓包吧,把攔截請求開啟
步驟四:在瀏覽器輸入搜索關鍵字
此時大家應該注意到了,瀏覽器一直顯示正在連接狀態,說明我們BurpSuite攔截起作用了,回到burpsuite工具,現在可以看到里面顯示了很多包信息,這就是我們剛剛抓的一個包,包里面包含了很多我們搜索關鍵字信息,請求方式、主機名、用戶代理、接受方式、接受語言、搜索信息、Cookie、連接狀態等
到這里這個例子已經完成,如果讀者還需多了解相關知識,可以去看下以下鏈接,里面講了很多BurpSuite其它功能使用
https://t0data.gitbooks.io/burpsuite/content/chapter1.html