1���、簡介
Burp Suite是用于攻擊web應用程序的集成平臺。它包含了許多工具��,并為這些工具設計了許多接口�����,以促進加快攻擊應用程序的過程���。所有的工具都共享一個能處理并顯示HTTP消息,持久性����,認證�,代理�,日志����,警報的一個強大的可擴展的框架。
2�����、標簽
- Target(目標)——顯示目標目錄結構的的一個功能
- Proxy(代理)——攔截HTTP/S的代理服務器�����,作為一個在瀏覽器和目標應用程序之間的中間人����,允許你攔截���,查看���,修改在兩個方向上的原始數據流。
- Spider(蜘蛛)——應用智能感應的網絡爬蟲��,它能完整的枚舉應用程序的內容和功能����。
- Scanner(掃描器)——高級工具����,執(zhí)行后�����,它能自動地發(fā)現web 應用程序的安全漏洞�。
- Intruder(入侵)——一個定制的高度可配置的工具,對web應用程序進行自動化攻擊�����,如:枚舉標識符��,收集有用的數據�����,以及使用fuzzing 技術探測常規(guī)漏洞�。
- Repeater(中繼器)——一個靠手動操作來觸發(fā)單獨的HTTP 請求,并分析應用程序響應的工具��。
- Sequencer(會話)——用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具��。
- Decoder(解碼器)——進行手動執(zhí)行或對應用程序數據者智能解碼編碼的工具。
- Comparer(對比)——通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”�。
- Extender(擴展)——可以讓你加載Burp Suite的擴展,使用你自己的或第三方代碼來擴展Burp Suit的功能�。
- Options(設置)——對Burp Suite的一些設置。
3����、操作
捕獲HTTP數據包:
以firefox火狐瀏覽器為例:點擊選項——高級——網絡——設置——選擇手動配置代理,HTTP代理輸入:127.0.0.1端口:8080
打開burpsuite,點擊proxy——Options勾選127.0.0.1:8080����。在Intercept點擊后顯示Intercept on�����,啟動�����。
在firefox瀏覽器輸入訪問的真實地址,列如在網址輸入10.1.1.174/login.php���,username輸入test�����,password也輸入test����。
點擊Login,頁面卡住了��,下面burpsuite閃框提示有新的數據傳入�����,打開看抓包信息�。
可修改里面的內容。
爬蟲:
在Target可以看到網站的目錄結構��。
可以選擇只顯示有回顯的數據或網站�����,勾上下面紅框框住的選項就可以了��。如果只選擇當前需要的一個網站,勾選Show only in-scope items���。
右鍵點擊選擇Spider this host(爬蟲到該主機)�,并點擊YES�。
可以看到加載進了下列展示的標簽。
如果不填寫任何表單��,可在Spide——options��,勾選如下設置��。
在下面頁面可以看到一共爬取了2萬多比特�。
爬完之后可以看到爬取的目錄。
掃描漏洞:
雙擊para���,會選中有參數的記錄�。右鍵點擊Actively scan selected items選項����。
就會自動過濾重復的頁面或數據�,然后點next——點ok��。
再Scanner——Scan queue就可以看到掃描的情況。
再Scanner下的Issue defintion可以定義掃什么樣的漏洞�。
導出數據包:
在User option選擇導出的數據包導出。
到此這篇關于Burpsuite入門及使用詳細教程的文章就介紹到這了,更多相關Burpsuite使用教程內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家�����!
您可能感興趣的文章:- 詳解BurpSuite安裝和配置
- VMware�、nmap、burpsuite的安裝使用教程
- Burpsuite模塊之Burpsuite Intruder模塊詳解
