Burp Suite---渗透测试工具-Toy模板网

这篇具有很好参考价值的文章主要介绍了Burp Suite---渗透测试工具。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

Burp Suite

是一款集成化的渗透测试工具，包含了很多功能，可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。

Burp Suite由Java语言编写，基于Java自身的跨平台性，使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具，它需要手工配置一些参数，触发一些自动化流程，然后才会开始工作。

Burp Suite可执行程序是Java文件类型的jar文件，免费版可以从官网下载。免费版的Burp Suite会有许多限制，无法使用很多高级工具，如果想使用更多的高级功能，需要付费购买专业版。专业版与免费版的主要区别有以下三点。

Burp Scanner
工作空间的保存和恢复
拓展工具，如Target Analyzer、Content Discovery和Task Scheduler
burp suite就是一个抓包、改包工具

burp suite就是一个抓包、改包工具

Burp Suite入门

设置代理

burp suite代理工具是以拦截代理的方式，拦截所有通过代理的网络流量，如客户端的请求数据、服务端的返回信息等。burp suite主要拦截HTTP和HTTPS 写协议的流量，通过拦截，burp以中间人的方式对客户端的请求数据、服务端的返回信息做各种处理，以达到安全测试的目的。

在日常工作中，最常用的web客户端就是web浏览器，我们可以通过设置代理信息，拦截web浏览器的流量，并对经过burp代理的流量数据进行处理。burp运行之后，Burp Proxy默认本地代理端口为8080。如图：
Burp Suite---渗透测试工具,软件安装,测试工具

HTTP的代理

以Firedox浏览器为例：
打开菜单——》选项——》网络代理——》设置——》手动配置代理
127.0.0.1端口是8080
Burp Suite---渗透测试工具,软件安装,测试工具
如上图所示，设置HTTP代理为127.0.0.1，端口为8080，与burp Proxy中的代理一致
端口在0~65535之间设置
手动代理：代理到本机，因为想让浏览器通过本机把流量发送到这个端口，再由burp监听到，把包拦下来（端口的选择要和burp一样）
HTTP代理（因为抓的是http的包）

设置完后，burp就可以抓包了。
重新打开：
Burp Suite---渗透测试工具,软件安装,测试工具

Burp Suite 是用于攻击web 应用程序的集成平台，包含了许多工具。BurpSuite为这些工具设计了许多接口，以加快攻击应用程序的过程。
二、工具栏功能简介
Burp Suite---渗透测试工具,软件安装,测试工具

Proxy（代理）

Burp Proxy的拦截功能主要由intercept（intercept拦截/截夺）选项卡中的Forward、Drop、Interception is on/off和Action构成，他们的功能如下所示。

Forward（放包）表示将拦截的数据表或修改后的数据包发送至服务器端。
Drop（废包）表示丢弃当前拦截的数据包
Interception is on（拦截请求）表示开启拦截功能，单击后变为interception is off（拦截禁用），表示关闭拦截功能

单击Action（行动）按钮，可以将数据包进一步发送到Spider、scanner、Repeater、Intruder等功能组件做进一步测试，同时也包含改变数据包请求方式及其body的编码功能。（发送到其他功能组件）

打开浏览器，输入需要访问的URL并按回车键，这时将看到数据流量经过Burp Proxy并暂停，直到单击Foreword按钮，才会继续传输下去。如果单击了Drop按钮，这次通过的数据将丢失，不再继续处理。
Burp Suite---渗透测试工具,软件安装,测试工具
当Burp Suite拦截的客户端和服务器交互之后，我们可以在Burp Suite的消息分析选项中查看这次请求的实体内容、消息头、请求参数等信息。Burp有四种消息类型显示数据包：Raw、Params、Headers和Hex。