前言
大家好,我是小白,下面开始我的表演,以下内容如有雷同纯属巧合,靴靴。 (鞠躬
学到什么就写什么,可能有点乱哈。
Burp Suite 是一款用于攻击 web 应用程序的集成平台,包含了许多工具,设置了不同的模块和接口,且模块功能之间是互通关联的。
安装运行
Burp Suite 使用 Java 开发的,运行时需要依赖于 Java 运行环境,因此需要安装 jdk 。
Burp Suite 肥宅快乐版:https://pan.baidu.com/s/1muN8BuDMfkDE97kPG-kHCg 提取码:yyry
下载后直接安装使用,妈妈再也不用担心我的学习,so easy~
jdk 安装环境就傻瓜式操作,配置一下环境变量,在系统变量 path 中加上 jdk 的 bin 目录路径。
最后,设置代理服务器,以下是 Google 浏览器代理设置步骤:
打开浏览器设置---->高级设置------>打开代理设置。
应用场景
(以下几行文字源自B视频)
1.HTTP服务端接口测试
2.HTTP客户端和HTTP服务端通信测试
3.cookie统计分析
4.HTTP服务器web安全扫描
5.web常用编码和解码
6.web页面爬取
7.字符串随机性简单分析
8.文件差异对比分析
使用教程
默认情况下,burp suite 只会拦截请求的消息,如果想要拦截其他类型,可以手动设置。
勾选以下拦截选项进行修改。
啊对了,建议重新调整下字体,因为是用英文开发,所以中文字体显示时可能会出现乱码。
以下选项修改字体大小和字体样式。
Burp Suite 模块介绍
Target(目标)
site map(站点地图)
左侧会显示所有通过服务器代理的url,右侧显示所访问url的详尽信息。
Target Scope
勾选使用高级范围控制 (大概是这么翻译的叭=.=)
包含两部分功能:包括范围、去除范围。
proxy(代理)
简单画了下 proxy 的作用:
Intercept(截断)
默认情况下显示为“intercept is on”,处于拦截功能状态,在浏览器输入URL并回车,经过burp的数据流量将会被拦截不发送,点击“forward”传输本次数据,“drop”丢弃本次数据。
Raw
显示web请求的raw格式,并且可以手工修改其中的信息。
HTTP history 截取数据流量的历史记录。
options 可选项配置。
Intruder
可以在原始请求的基础上,修改各种请求参数。
使用步骤:
1.完成浏览器的代理设置。
2.在proxy下关闭拦截功能。
3.HTTP history中找到存在问题的请求URL,右击选择发送到intruder。
4.清除自动默认选择的猜测或破解信息的位置。(也可以手工选择、添加位置)
position下选择攻击类型
payload
最后回到position页面,点击stack attack ,发起攻击。
Scan
略。。好吧,我的肥仔快乐版里没有这个模块,肥仔失去快乐。