Burp Suite 是一款集成型的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手
工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得
测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite
的使用,也使得渗透测试工作变得轻松和高效。
简而言之就是这是一款Burte Force(暴力破解)的神器,使用好了效率会很高。
Burp Suite是由Java语言编写而成,所以我们需要在电脑上实现配置好java的运行环境。
java的安装包很好找,在百度上搜索java jdk就好,在安装java时一定一定要注意一个问题,安装java的文件位置不能带中文,哪怕带数字都可以,否则会安装失败,我因为这件事就浪费了很长时间。
安装成功之后就需要对计算机进行环境变量的设置,过程都很简单,最后在cmd中输入java
java环境配置成功。
开始进入正题,Burp Suite代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数
据、服务器端的返回信息等。Burp Suite主要拦截http和https协议的流量,通过拦截,Burp
Suite以中间人的方式,可以对客户端请求数据、服务端返回做各种处理,以达到安全评估测
试的目的。
在日常工作中,我们最常用的web客户端就是的web浏览器,我们可以通过代理的设置,做到
对web浏览器的流量拦截,并对经过Burp Suite代理的流量数据进行处理。我们需要先对浏览器进行burp suite的代理配置。
默认分配的代理地址和端口可以在从Burp Suite的proxy选项卡的options上查看
不同浏览器的配置方法都大同小异,我用的firefox,
点击网络设置,按照下图方法配置就成功了。
皮卡丘测试靶场,我在使用burp suite射击第一个靶子时遇到了一些问题,
我的密码和账号不显示,后来发现字典的目录不能设置在带中文的文件夹里,果然 我换了个英文文件夹,成功了。(顺便发现每行密码后面不能带空格)
