一.什么是burpsuit?
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
二.如何初步熟悉掌握使用burpsuit?
1.要想使用必须得下载,不下载自己操作不可能熟悉他,所以去官方下载地址:http://portswigger.net/burp/download.html
他主要分为两个版本,一个free和一个pro,pro比free功能更全但是得付出点什么(自己领悟)。
2.下载之前要了解需要的环境和电脑配置,基本上是:64X操作系统与java运行环境。
3.下载之后打开可以看到以下界面
之后根据他所给的提升一步一步操作,然后就会有以下进入页面
4.进入后界面上有很多的工具栏,这些我们都要熟练的掌握这些工具的作用,以下就是这些工具的作用
(1).代理–Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包.
(2)Spider(蜘蛛)–Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)的情况下.Burp Suite的蜘蛛可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。
(3).Scanner(扫描器)–它是用来扫描Web应用程序漏洞的.在测试的过程中可能会出现一些误报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确.
(4).Intruder(入侵)–此功能呢可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜解等.
(5).Repeater(中继器)–此功能用于根据不同的情况修改和发送相同的请求次数并分析.
(6).Sequencer–此功能主要用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试.
(7).Decoder(解码)–此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据.
(8).Comparer–此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较.
5.然而这其中我们最需要的也是经常要用到几个功能的细致分类更要灵活掌握,以下就是这几种
Proxy
这个功能是代理抓数据包,原理就是通过把127.0.0.1设置为代理服务器,由本机发起的请求都会通过127.0.0.1,然后就可以把请求和响应包都截取下来。
我用的是Firefox浏览器,设置的ip和端口分别是127.0.0.1和8080端口,然后在proxy下的
(1)Options一栏如下操作
在以上这个界面我们可以手动的改动地址等操作,根据自己的要求和想法来改动。
(2)而这一栏中的 HTTP history
以上界面将会显示我们所有的访问请求记录
(3)点击payloads会出现以下界面
在这里面我们可以根据自己的猜想去手动的加我们的字典也可以直接添加,并且可以选择我们所给的字典里的东西去如何的组合数去破解,主要是根据实际要求去配置破解的各种格式。
三.实践是检验真理的唯一标准
要想熟悉的初步掌握这个神器,我们必须通过几个实验去进一步的熟悉了解这个工具,以上就是我初步对这个神器的一些功能的掌握,希望对你有帮助 。