- 1、本文档共10页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
burpsuite⼯⼯具具基基本本功功能能使使⽤⽤
很多朋友做安全测试的,好多⼈应该都使⽤过burpsuite⼯具,这个⼯具功能强⼤,除了包,截包,改包功能使⽤外那就是安全了。这⾥简单的讲⼀下基本功能,proxy、
repeater、spider、intruder⼀般会中四个功能也就够玩的了。
1.Target(⽬标)——显⽰⽬标⽬录结构的的⼀个功能
2.Proxy(代理)——是⼀个拦截HTTP/S的代理服务器(包),作为⼀个在浏览器和⽬标应⽤程序之间的中间⼈,允许你拦截,查看,修改在两个⽅向上的原始数据流。
3.Spider(爬⾍)——是⼀个应⽤智能感应的⽹络爬⾍,它能完整的枚举应⽤程序的内容和功能。
4.Scanner(扫描器)[仅限专业版——是⼀个⾼级的⼯具,执⾏后,它能⾃动地发现web应⽤程序的安全漏洞。
5.Intruder(⼊侵)——是⼀个定制的⾼度可配置的⼯具,对web应⽤程序进⾏⾃动化攻击,如:枚举标识符,收集有⽤的数据,以及使⽤fuzzing技术探测常规漏洞。
6.Repeater(中继器)——是⼀个靠⼿动操作来补发单独的HTTP请求,并分析应⽤程序响应的⼯具。
7.Sequencer(会话)——是⼀个⽤来分析那些不可预知的应⽤程序会话令牌和重要数据项的随机性的⼯具。
8.Decoder(解码器)——是⼀个进⾏⼿动执⾏或对应⽤程序数据者智能解码编码的⼯具。
9.Comparer(对⽐)——是⼀个实⽤的⼯具,通常是通过⼀些相关的请求和响应得到两项数据的⼀个可视化的“差异”。
10.Extender(扩展)——可以让你加载BurpSuite的扩展,使⽤你⾃⼰的或第三⽅代码来扩展BurpSuit的功能。
11.Options(设置)——对BurpSuite的⼀些设置
sitemap
这个主要是由spider功能模块爬出对应⽹站的⼀个站点地图,这⾥我通过spider功能扒取本地的⼀个74cms做测试。具体的怎么爬出站点地图在稍后的spider进⾏介绍。
如图所⽰的,
区块1就是扫描整个⽹站的站点地图
区块2就是递交的请求情况
区块3就是请求头和响应头的详细信息,包括源码,参数,头,16进制码。
区块4就是该⽹站存在的问题,这个spider功能能够扫描出⽹站⼀些⽐较明显的问题,当然肯定不全⾯,参考意义不是很⼤,漏洞扫描器推荐awvs,这个最开始还是⽐较好⽤
的,不过到后来就会发现其实很多漏洞根本扫不出来。
区块5就是对应问题的详细信息以及解决⽅法。
然后可以看出区块上⾯还有⼀个filter的功能,这也是⼀个⽐较强⼤的功能,稍后做介绍。
scope
然后是target下的scope栏⽬,
Proxy
这个代理包功能应该是使⽤最频繁的功能之⼀了,原理就是通过把设置为代理服务器,由本机发起的请求都会通过,
然后我们就可以把请求和响应包都截取下来。
⾸先要在浏览器的设置⾥添加⼀个代理,以⽕狐浏览器为例,点击选项,如下图
这⾥我设置的ip和端⼝分别是和8080端⼝,然后在proxy下的Options⼀栏如下操作
注意这⾥端⼝号⼀定要与浏览器设定的代理服务器端⼝号⼀致,如果8080被其他应⽤占⽤,可以将⼆者均换掉也⽆所谓。
这样,所有浏览器发出的请求和接受的响应都会被burpsuite拦截(PS:最后记得将浏览器的代理服务器勾选为不使⽤代理,否则⼀旦buresuite关了就可能上不了⽹了)
现在来介绍功能:
intercept
截取到包如下图:
Forward:通俗来说就是将包发送出去
Drop:丢弃掉包
action的功能如下,也可以右键点击空⽩处
1-7分别对应到发送到最上⽅的七个模块
其他的英⽂应该都能读懂,⾃⼰试试就知道了,都⽐较清晰的
HTTPhistory
这个就是截取包的历史记录
然后我们来看看这个filter功能
1、三项对应的是
-只显⽰范围内的⽹址,这个主要在前⾯站点地图那⾥设置scope时的筛选
-隐藏没有响应的记录
-只展⽰有请求参数的记录
2、这⾥⼿动输⼊筛选条件可以⽀持正则、⼤⼩写敏感等
3、根据MIME类型进⾏筛选
4、展⽰和隐藏那些类型的请求记录
5、根据响应的HTTP状态码来筛选
6、显⽰评论过的和⾼亮的记录。注意,这
您可能关注的文档
- 国家司法考试卷二(行政法与行政诉讼法)模拟试卷26(题后含答案及解析).doc
- 初高中化学实验室仪器设备一览表.docx
- 级第一章药事管理与法规概述.pptx
- 综合实践活动教学计划.doc
- 医生进修学习总结(通用16篇).docx
- 半导体气敏传感器法与电化学传感器法甲醛检测仪性能比较.pdf
- 太阳电池及其应用技术讲座-三-各种太阳电池.pdf
- 火灾爆炸突发事件专项应急预案.doc
- 医疗机构安全管理制度(精选11篇).docx
- 生活中的生物化学ppt课件.pptx
- 教育部统编版六年级语文小升初专项训练--拼音字词 (含答案).pdf
- 数据结构实用教程(第三版)课后答案.pdf
- 2024年军队文职统一考试《专业科目》会计学试卷(网友回忆版)(含解析) .docx
- 2023年1月7日国家公务员考试《公安专业科目》试题(含解析).docx
- 2023年军队文职统一考试《专业科目》文学类—汉语言文学试题(含解析).docx
- 2018年军队文职统一考试《专业科目》管理学类—管理学试题(含解析).docx
- 堤防渗流计算.pdf
- 2024年人教版地理八年级下册期中测试卷及答案【全面】 .pdf
- 2024年必威体育精装版工会财务管理制度(三篇) .pdf
- 核桃深加工技改扩能(整体搬迁)项目立项环境评估报告表.docx
最近下载
- 小学生文明守则十条.pdf VIP
- 22G101 三维彩色立体图集.docx
- 胖东来服务培训ppt课件.pptx
- 气道净化护理(2023年中华护理学会团体标准).pptx VIP
- 小区高清网络视频监控设计实施方案.doc VIP
- BY酒店员工职业倦怠感研究.docx
- GBT30789.2-2014 色漆和清漆 涂层老化的评价 缺陷的数量和大小以及外观均匀变化程度的标识:第2部分:起泡等级的评定.pdf
- 语言运用之选用、仿用、变换句式教学案.pdf VIP
- 2024-2025学年四年级语文上册统编版期末综合复习.pdf VIP
- 必威体育精装版国家开放大学电大专科《管理学基础》2024期末试题及答案(试卷号.pdf VIP
文档评论(0)