Burp Suite 是用於攻擊web 應用程序的集成平台。它包含了許多工具,並為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理並顯示HTTP 消息,持久性,認證,代理,日志,警報的一個強大的可擴展的框架。
下面介紹burp suite的安裝及配置
注冊機的使用方法
1.首先需要安裝java及環境變量配置
2.打開注冊機:burp-loader-keygen.jar,然后點擊run,license text隨便起個名字,然后將生成的license復制粘貼到打開的burp里,next
密鑰執行后點擊manual activation手動激活
將request粘貼到activation request,將自動生成的response,再粘貼到burp最下面的response,繼續next
最后就成功激活burp suite
關於火狐配置代理
首先在burp suite中找到proxy,點擊options,勾選127.0.0.1
然后在火狐高級選項里設置代理服務器,在輸入網址http://burp下載CA證書
最后導入CA證書同樣是關鍵
在火狐中添加插件proxy switchyomega並配置代理服務器,新建情景模式,如圖配置然后點應用選項
到這火狐的配置就基本結束
可以嘗試打開baidu.com看看burp的效果
Proxy——是一個攔截HTTP/S的代理服務器,作為一個在瀏覽器和目標應用程序之間的中間人,允許你攔截,查看,修改在兩個方向上的原始數據流。
Spider——是一個應用智能感應的網絡爬蟲,它能完整的枚舉應用程序的內容和功能。
Scanner[僅限專業版]——是一個高級的工具,執行后,它能自動地發現web 應用程序的安全漏洞。
Intruder——是一個定制的高度可配置的工具,對web應用程序進行自動化攻擊,如:枚舉標識符,收集有用的數據,以及使用fuzzing 技術探測常規漏洞。
Repeater——是一個靠手動操作來補發單獨的HTTP 請求,並分析應用程序響應的工具。
Sequencer——是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。
Decoder——是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。
Comparer——是一個實用的工具,通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。