實驗目的
利用Burp Spider功能探測目標網站的目錄結構。
實驗原理
1)Burp Suite是Web應用程序測試的最佳工具之一,其多種功能可以幫我們執行各種任務.請求的攔截和修改,掃描web應用程序漏洞,以暴力破解登陸表單,執行會話令牌等多種的隨機性檢查。本文將做一個Burp Suite完全正的演練,主要討論它的以下特點. 2)代理–Burp Suite帶有一個代理,通過默認端口8080上運行,使用這個代理,我們可以截獲並修改從客戶端到web應用程序的數據包. 3)Spider(蜘蛛)–Burp Suite的蜘蛛功能是用來抓取Web應用程序的鏈接和內容等,它會自動提交登陸表單(通過用戶自定義輸入)的情況下.Burp Suite的蜘蛛可以爬行掃描出網站上所有的鏈接,通過對這些鏈接的詳細掃描來發現Web應用程序的漏洞 。 4)Scanner(掃描器)–它是用來掃描Web應用程序漏洞的.在測試的過程中可能會出現一些誤報。重要的是要記住,自動掃描器掃描的結果不可能完全100%准確. 5)Intruder(入侵)–此功能呢可用語多種用途,如利用漏洞,Web應用程序模糊測試,進行暴力猜解等. 6)Repeater(中繼器)–此功能用於根據不同的情況修改和發送相同的請求次數並分析. 7)Sequencer–此功能主要用來檢查Web應用程序提供的會話令牌的隨機性.並執行各種測試. 8)Decoder(解碼)–此功能可用於解碼數據找回原來的數據形式,或者進行編碼和加密數據. 9)Comparer–此功能用來執行任意的兩個請求,響應或任何其它形式的數據之間的比較.
實驗內容
Burp Spider功能探測目標網站的目錄結構
實驗環境描述
Kali操作系統
用戶名密碼為:root toor
實驗步驟
一、Burp Suite介紹 1.1Proxy(代理),代理功能使我們能夠截獲並修改請求.為了攔截請求,並對其進行操作,瀏覽器發送的數據先通過Burp Suite軟件,然后再提交給目標網站.在瀏覽器上設置代理服務器地址和端口號。Burp Suite默認的代理地址為127.0.0.1 端口號為8080。打開瀏覽器頁面,單擊“右上角紅色方框”-〉“Preferences”。如圖1所示
1.2單擊“network”->”setting”。 如圖2所示
1.3在打開的界面選擇“Manual proxy configuration”->”HTTP Proxy”。輸入“127.0.0.1”和port”8080”。 如圖3所示
1.4單擊桌面空白處,右鍵菜單選擇“在終端中打開”。如圖4所示
1.5在命令終端中輸入命令“burpsuite”,啟動burpsuite軟件。如圖5所示
1.6在proxy標簽下,顯示了軟件的默認代理設置。如圖6所示
1.7打開Burp Suite,標簽”Proxy”->”intercept”,進行Intercept(截斷),需要確保intercept is on,Burp Suite開始截斷網頁和服務器之間的數據包了,只有單擊了“Forward”按鈕,數據包才能交互。如圖7所示
1.8如果intercept is off,表示網頁和服務器交互的數據包通過Burp Suite,但Burp Suite軟件不截取數據包。如圖8所示
