1、簡介
Burp Suite是用于攻擊web應(yīng)用程序的集成平臺(tái)。它包含了許多工具,并為這些工具設(shè)計(jì)了許多接口,以促進(jìn)加快攻擊應(yīng)用程序的過程。所有的工具都共享一個(gè)能處理并顯示HTTP消息,持久性,認(rèn)證,代理,日志,警報(bào)的一個(gè)強(qiáng)大的可擴(kuò)展的框架。
2、標(biāo)簽
- Target(目標(biāo))——顯示目標(biāo)目錄結(jié)構(gòu)的的一個(gè)功能
- Proxy(代理)——攔截HTTP/S的代理服務(wù)器,作為一個(gè)在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人,允許你攔截,查看,修改在兩個(gè)方向上的原始數(shù)據(jù)流。
- Spider(蜘蛛)——應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲,它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。
- Scanner(掃描器)——高級(jí)工具,執(zhí)行后,它能自動(dòng)地發(fā)現(xiàn)web 應(yīng)用程序的安全漏洞。
- Intruder(入侵)——一個(gè)定制的高度可配置的工具,對web應(yīng)用程序進(jìn)行自動(dòng)化攻擊,如:枚舉標(biāo)識(shí)符,收集有用的數(shù)據(jù),以及使用fuzzing 技術(shù)探測常規(guī)漏洞。
- Repeater(中繼器)——一個(gè)靠手動(dòng)操作來觸發(fā)單獨(dú)的HTTP 請求,并分析應(yīng)用程序響應(yīng)的工具。
- Sequencer(會(huì)話)——用來分析那些不可預(yù)知的應(yīng)用程序會(huì)話令牌和重要數(shù)據(jù)項(xiàng)的隨機(jī)性的工具。
- Decoder(解碼器)——進(jìn)行手動(dòng)執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具。
- Comparer(對比)——通常是通過一些相關(guān)的請求和響應(yīng)得到兩項(xiàng)數(shù)據(jù)的一個(gè)可視化的“差異”。
- Extender(擴(kuò)展)——可以讓你加載Burp Suite的擴(kuò)展,使用你自己的或第三方代碼來擴(kuò)展Burp Suit的功能。
- Options(設(shè)置)——對Burp Suite的一些設(shè)置。
3、操作
捕獲HTTP數(shù)據(jù)包:
以firefox火狐瀏覽器為例:點(diǎn)擊選項(xiàng)——高級(jí)——網(wǎng)絡(luò)——設(shè)置——選擇手動(dòng)配置代理,HTTP代理輸入:127.0.0.1端口:8080
打開burpsuite,點(diǎn)擊proxy——Options勾選127.0.0.1:8080。在Intercept點(diǎn)擊后顯示Intercept on,啟動(dòng)。
在firefox瀏覽器輸入訪問的真實(shí)地址,列如在網(wǎng)址輸入10.1.1.174/login.php,username輸入test,password也輸入test。
點(diǎn)擊Login,頁面卡住了,下面burpsuite閃框提示有新的數(shù)據(jù)傳入,打開看抓包信息。
可修改里面的內(nèi)容。
爬蟲:
在Target可以看到網(wǎng)站的目錄結(jié)構(gòu)。
可以選擇只顯示有回顯的數(shù)據(jù)或網(wǎng)站,勾上下面紅框框住的選項(xiàng)就可以了。如果只選擇當(dāng)前需要的一個(gè)網(wǎng)站,勾選Show only in-scope items。
右鍵點(diǎn)擊選擇Spider this host(爬蟲到該主機(jī)),并點(diǎn)擊YES。
可以看到加載進(jìn)了下列展示的標(biāo)簽。
如果不填寫任何表單,可在Spide——options,勾選如下設(shè)置。
在下面頁面可以看到一共爬取了2萬多比特。
爬完之后可以看到爬取的目錄。
掃描漏洞:
雙擊para,會(huì)選中有參數(shù)的記錄。右鍵點(diǎn)擊Actively scan selected items選項(xiàng)。
就會(huì)自動(dòng)過濾重復(fù)的頁面或數(shù)據(jù),然后點(diǎn)next——點(diǎn)ok。
再Scanner——Scan queue就可以看到掃描的情況。
再Scanner下的Issue defintion可以定義掃什么樣的漏洞。
導(dǎo)出數(shù)據(jù)包:
在User option選擇導(dǎo)出的數(shù)據(jù)包導(dǎo)出。
到此這篇關(guān)于Burpsuite入門及使用詳細(xì)教程的文章就介紹到這了,更多相關(guān)Burpsuite使用教程內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
您可能感興趣的文章:- 詳解BurpSuite安裝和配置
- VMware、nmap、burpsuite的安裝使用教程
- Burpsuite模塊之Burpsuite Intruder模塊詳解