目錄
- 1�����、簡(jiǎn)介
- 2�、標(biāo)簽
- 3�����、操作
1����、簡(jiǎn)介
Burp Suite是用于攻擊web應(yīng)用程序的集成平臺(tái)。它包含了許多工具���,并為這些工具設(shè)計(jì)了許多接口�,以促進(jìn)加快攻擊應(yīng)用程序的過(guò)程�。所有的工具都共享一個(gè)能處理并顯示HTTP消息,持久性,認(rèn)證�,代理,日志�����,警報(bào)的一個(gè)強(qiáng)大的可擴(kuò)展的框架�����。
2��、標(biāo)簽
- Target(目標(biāo))——顯示目標(biāo)目錄結(jié)構(gòu)的的一個(gè)功能
- Proxy(代理)——攔截HTTP/S的代理服務(wù)器����,作為一個(gè)在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人��,允許你攔截����,查看,修改在兩個(gè)方向上的原始數(shù)據(jù)流�����。
- Spider(蜘蛛)——應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲,它能完整的枚舉應(yīng)用程序的內(nèi)容和功能����。
- Scanner(掃描器)——高級(jí)工具,執(zhí)行后�����,它能自動(dòng)地發(fā)現(xiàn)web 應(yīng)用程序的安全漏洞�。
- Intruder(入侵)——一個(gè)定制的高度可配置的工具,對(duì)web應(yīng)用程序進(jìn)行自動(dòng)化攻擊����,如:枚舉標(biāo)識(shí)符,收集有用的數(shù)據(jù)����,以及使用fuzzing 技術(shù)探測(cè)常規(guī)漏洞。
- Repeater(中繼器)——一個(gè)靠手動(dòng)操作來(lái)觸發(fā)單獨(dú)的HTTP 請(qǐng)求���,并分析應(yīng)用程序響應(yīng)的工具����。
- Sequencer(會(huì)話)——用來(lái)分析那些不可預(yù)知的應(yīng)用程序會(huì)話令牌和重要數(shù)據(jù)項(xiàng)的隨機(jī)性的工具�。
- Decoder(解碼器)——進(jìn)行手動(dòng)執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具�����。
- Comparer(對(duì)比)——通常是通過(guò)一些相關(guān)的請(qǐng)求和響應(yīng)得到兩項(xiàng)數(shù)據(jù)的一個(gè)可視化的“差異”��。
- Extender(擴(kuò)展)——可以讓你加載Burp Suite的擴(kuò)展���,使用你自己的或第三方代碼來(lái)擴(kuò)展Burp Suit的功能。
- Options(設(shè)置)——對(duì)Burp Suite的一些設(shè)置����。
3����、操作
捕獲HTTP數(shù)據(jù)包:
以firefox火狐瀏覽器為例:點(diǎn)擊選項(xiàng)——高級(jí)——網(wǎng)絡(luò)——設(shè)置——選擇手動(dòng)配置代理,HTTP代理輸入:127.0.0.1端口:8080
打開(kāi)burpsuite,點(diǎn)擊proxy——Options勾選127.0.0.1:8080�。在Intercept點(diǎn)擊后顯示Intercept on,啟動(dòng)����。
在firefox瀏覽器輸入訪問(wèn)的真實(shí)地址,列如在網(wǎng)址輸入10.1.1.174/login.php�,username輸入test,password也輸入test���。
點(diǎn)擊Login��,頁(yè)面卡住了��,下面burpsuite閃框提示有新的數(shù)據(jù)傳入�,打開(kāi)看抓包信息。
可修改里面的內(nèi)容�。
爬蟲:
在Target可以看到網(wǎng)站的目錄結(jié)構(gòu)。
可以選擇只顯示有回顯的數(shù)據(jù)或網(wǎng)站���,勾上下面紅框框住的選項(xiàng)就可以了�。如果只選擇當(dāng)前需要的一個(gè)網(wǎng)站����,勾選Show only in-scope items。
右鍵點(diǎn)擊選擇Spider this host(爬蟲到該主機(jī))�����,并點(diǎn)擊YES�。
可以看到加載進(jìn)了下列展示的標(biāo)簽。
如果不填寫任何表單���,可在Spide——options�,勾選如下設(shè)置。
在下面頁(yè)面可以看到一共爬取了2萬(wàn)多比特�����。
爬完之后可以看到爬取的目錄�����。
掃描漏洞:
雙擊para�,會(huì)選中有參數(shù)的記錄。右鍵點(diǎn)擊Actively scan selected items選項(xiàng)�。
就會(huì)自動(dòng)過(guò)濾重復(fù)的頁(yè)面或數(shù)據(jù),然后點(diǎn)next——點(diǎn)ok����。
再Scanner——Scan queue就可以看到掃描的情況�。
再Scanner下的Issue defintion可以定義掃什么樣的漏洞。
導(dǎo)出數(shù)據(jù)包:
在User option選擇導(dǎo)出的數(shù)據(jù)包導(dǎo)出���。
到此這篇關(guān)于Burpsuite入門及使用詳細(xì)教程的文章就介紹到這了,更多相關(guān)Burpsuite使用教程內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�����!
您可能感興趣的文章:- 詳解BurpSuite安裝和配置
- VMware��、nmap�、burpsuite的安裝使用教程
- Burpsuite模塊之Burpsuite Intruder模塊詳解
