1、免责声明
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
2、内容速览
今天给大家介绍一款安全攻防"神器"——Burpsuite。下面让我们一起学习如何简单使用吧!!
Burpsuite 是白帽子日常测试Web应用程序安全的集成化图形化的测试平台,Burpsuite包含了许多工具。(如下所示)
Proxy(代理模块)——它是专门拦截http://(https://)的代理服务器,它就是存在于浏览器和Web应用程序之间的中间人,方便白帽子拦截,审计,伪造发送给Web应用的原始数据。
Spider(爬虫模块)——它是一款"人工智能版"的AI网络爬虫,它可以完整的爬出Web应用程序的请求与响应。
Scanner(扫描模块)——它是特殊的高级的工具,它在执行后可以自己发现Web网站——关于安全方面的大多数漏洞。
Intruder(入侵模块)——它是实用的可定义的可配置工具,它面向Web网站自动发起普遍的攻击方式。eg:以及枚举,反复提交,配合 技术探测常规漏洞。
Repeater(请求模块)——它是完全由白帽黑客手工构造,专门用来提交http://(https://)请求的工具,可以辅助"白帽子"分析Web网站的工具。
Sequencer(分析模块)——它是自动的用来分析Web网站中不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder(破解模块)——它是唯一可以对Web网站进行手工化,半自动化,及全自动化的智能解码编码的工具。
Comparer(对比模块)——它是特别的对比模块,常常用来对一些Web网站的请求和响应得到不同数据的一个可视化的“差异”。
如图所示:
切记:一定要配好代理IP与端口号与Burpsuite监听端口一致!!!
这里使用的是firefox浏览器插件FoxyProxy来配置浏览器代理
如果不清楚位置请看Proxy(代理模块),这里burpsuite配置的本地监听端口是8080,与浏览器端口一致即可
Proxy(代理模块)和Intruder(入侵模块)和Decoder(破解模块)
如下图所示:
通过点击鼠标右键,把捕获的数据发给其他模块(例如:Intruder(入侵模块)和Decoder(破解模块)),进行分析及攻击!
Spider(爬虫模块)和Sequencer(分析模块)栗子如下所示:
分析模块是用来测试Web网站的Session Tokens,cookice等其他加密数据流的!
该模块还可以进行Web网络数据的请求
Repeater(请求模块)和Comparer(对比模块)
例如:burpsuite使用repeater模块的实现重放攻击
详细安装使用可以参考另一篇文章 抓包神器Burpsuite保姆级破解及使用指南