Burp Suite入门及使用详细教程

这篇具有很好参考价值的文章主要介绍了Burp Suite入门及使用详细教程。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Burp Suite是用于攻击web应用程序的集成平台,接下来通过本文给大家介绍Burpsuite入门及使用详细教程,感兴趣的朋友一起看看吧

目录

1、简介

2、标签

3、操作


1、简介

Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

2、标签

burpsuit,前端,servlet,java

  1. Target(目标)——显示目标目录结构的的一个功能
  2. Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
  3. Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
  4. Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。
  5. Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
  6. Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
  7. Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
  8. Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
  9. Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
  10. Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
  11. Options(设置)——对Burp Suite的一些设置。

3、操作

捕获HTTP数据包:

以firefox火狐浏览器为例:点击选项——高级——网络——设置——选择手动配置代理,HTTP代理输入:127.0.0.1端口:8080

burpsuit,前端,servlet,java

打开burpsuite,点击proxy——Options勾选127.0.0.1:8080。在Intercept点击后显示Intercept on,启动。

burpsuit,前端,servlet,java

burpsuit,前端,servlet,java

在firefox浏览器输入访问的真实地址,列如在网址输入10.1.1.174/login.php,username输入test,password也输入test。

burpsuit,前端,servlet,java

点击Login,页面卡住了,下面burpsuite闪框提示有新的数据传入,打开看抓包信息。

burpsuit,前端,servlet,java

可修改里面的内容。

爬虫:

在Target可以看到网站的目录结构。

burpsuit,前端,servlet,java

可以选择只显示有回显的数据或网站,勾上下面红框框住的选项就可以了。如果只选择当前需要的一个网站,勾选Show only in-scope items。

burpsuit,前端,servlet,java

右键点击选择Spider this host(爬虫到该主机),并点击YES。

burpsuit,前端,servlet,java

burpsuit,前端,servlet,java

可以看到加载进了下列展示的标签。

burpsuit,前端,servlet,java

如果不填写任何表单,可在Spide——options,勾选如下设置。

burpsuit,前端,servlet,java

在下面页面可以看到一共爬取了2万多比特。

burpsuit,前端,servlet,java

爬完之后可以看到爬取的目录。

burpsuit,前端,servlet,java

扫描漏洞:

双击para,会选中有参数的记录。右键点击Actively scan selected items选项。

burpsuit,前端,servlet,java

burpsuit,前端,servlet,java

就会自动过滤重复的页面或数据,然后点next——点ok。

burpsuit,前端,servlet,java

再Scanner——Scan queue就可以看到扫描的情况。

burpsuit,前端,servlet,java

再Scanner下的Issue defintion可以定义扫什么样的漏洞。

burpsuit,前端,servlet,java

导出数据包:

在User option选择导出的数据包导出。文章来源地址https://www.toymoban.com/news/detail-613792.html

到了这里,关于Burp Suite入门及使用详细教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Burp Suite的使用(常用模块)

    目录 1、Dashboard模块 2、Target模块 3、Proxy模块(核心模块) (1)Forward (2)Drop (3)Action 4、Intruder模块 (1)Target (2)Positions (3)Attack type ① Sniper ② Battering ram ③ Pitchfork ④ Cluster bomb (4)Payloads ① payload sets ② payload options(社区版为payload settings) ③ payload processing ④

    2024年02月09日
    浏览(42)
  • burp suite非常全面的下载配置及使用(exe)

      burp suite介绍 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Su

    2023年04月11日
    浏览(44)
  • 使用Burp Suite和Python进行自动化漏洞挖掘—SQL测试注入插件

    每次测注入都是用burp的Intruder模块,很不方便就是批量跑批量测哪些没有过滤 懒人鹅上线,准备搞一个sql测试的插件 本篇文章代码量大,基础可以去看上一篇 测试sql基本注入的载荷,在可能有sql注入的地方发送测试包,目前只测试url中的,并可以根据错误回显判断出数据库

    2024年02月09日
    浏览(43)
  • 【Burp Suite】Burp Suite下载及快速启动

    ● 官方文档地址: https://portswigger.net/burp/documentation/contents ● 官方下载地址: https://portswigger.net/burp/releases ● 选择要下载的版本及安装包,JAR包也要下载,以Windows为例。 ● 下载后直接对应用程序安装即可,无需任何配置。 ● 安装后,将JAR包与Burp Loader Keygen.jar放到安装目

    2024年02月09日
    浏览(47)
  • 使用 Burp Suite 暴力破解密码 撞库攻击 从0到1手摸手教学

    一个学习的过程 增加自己网络安全知识 切勿用于违法用途 设置密码尽量使用6位以上并规避简单数字组合、加强对同一ip的频繁访问次数限制、设置人机验证减小撞库攻击的危害 本地环境 kali 2022 Burp Suite FireFox 靶机环境 一台服务器 CentOS 7 宝塔面板 一个域名(你不会没有吧)

    2024年02月09日
    浏览(40)
  • BurpSuite超详细安装教程-功能概述-配置-使用教程---(附下载链接)

    BurpSuite是渗透测试、漏洞挖掘以及Web应用程序测试的最佳工具之一,是一款用于攻击web 应用程序的集成攻击测试平台,可以进行抓包、重放、爆破,包含许多工具,能处理对应的HTTP消息、持久性、认证、代理、日志、警报。 链接: 百度网盘链接 提取码:ranz 下载后解压 如

    2024年02月03日
    浏览(44)
  • Burp Suite工具详解

    Burp Suite 简介 Burp Suite(简称Burp)是一款Web安全领域的跨平台工具,基于Java开发。它集成了很多用于发现常见Web漏洞的模块,如:Proxy、Spider、Intruder、Repeater等。 说明 Proxy代理模块         代理模块是Burp的核心模块,主要来截获并修改浏览器、手机App等客户端的HTTP/HTTPS数据

    2024年02月09日
    浏览(48)
  • Burp Suite 解决中文乱码

    Burp Suite 专业版 v2022.7.1 0x00 写在前面 在使用burpsuite过程中,数据包中的中文信息,显示为乱码 0x01 修改中文字体 修改任意中文字体,例如 黑体 13 0x02 修改字符集 将 Recognize automatically based on message headers 修改为 Use a specific character set 选择UTF-8编码 0x03 正常显示 修改完之后,可

    2024年02月13日
    浏览(35)
  • Burp Suite如何拦截站点请求

    Burp Suite是一款强大的Web渗透测试工具,可以用于拦截、修改和分析Web应用程序的请求和响应。要使用Burp Suite拦截站点请求有两个方案。我会倾向选用方案二,因为它不会影响本地电脑代理配置。 安装Burp Suite:首先,您需要在您的计算机上安装Burp Suite社区版本,可以访问h

    2024年01月18日
    浏览(35)
  • Burp Suite---渗透测试工具

    是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。 Burp Suite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化

    2024年02月16日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包