burp_suite学习笔记

阅读次数: 本文字数: 508 阅读时长 ≈ 1 分钟

burp_suite是网络安全的常用工具,功能强大,本文使用的版本为1.7。

长期更新

初始界面如下:
burp-suite界面

proxy

proxy设置burp suite的代理,浏览器使用代理访问网站,burp suite可以进行中间人攻击。

代理设置

配置https代理

https因为被加密,burp suite无法解密,所以初始情况只能抓http包,要抓https包需要先配置证书。

访问此时的代理地址:

代理地址

选择右边的CA certificate,下载证书后导入。

并设置浏览器代理:

成功抓取到https包:

访问了百度

spider

Burp Suite的spider可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞。

scanner

扫描器

Intruder

此功能可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜解等.

Repeater

此功能用于根据不同的情况修改和发送相同的请求次数并分析.

Sequencer

此功能主要用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试.

Decoder

此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据.

Comparer

此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较.