网络安全渗透神器——Burp Suite使用教程

这篇具有很好参考价值的文章主要介绍了网络安全渗透神器——Burp Suite使用教程。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

环境准备

下载Burpsuite Pro 2022.2.2 Jar文件、注/册/机、jdk

私/信【助/安/社/区】公/众/号发送 BP 领/取相关文件

1、安装好jdk并配置好环境变量

2、直接运行注册机:BurpLoaderKeygen.jar文件,双击或者使用 java -jar命令打开也可以。注册机会自动识别目录下的burpsuite_pro_v2022.2.2.jar文件,并且自动添加参数

burp注册机,工具利用,web安全,安全,网络安全,测试工具

burp注册机,工具利用,web安全,安全,网络安全,测试工具

Diy自己的license信息:

burp注册机,工具利用,web安全,安全,网络安全,测试工具

将BurpLoaderKeygen.jar界面上的License信息复制到burpsuite上面:

burp注册机,工具利用,web安全,安全,网络安全,测试工具

然后选中Manual activation 手动激活

burp注册机,工具利用,web安全,安全,网络安全,测试工具

点击Next,完成/激/活

点击run,启动burpsuite。

burp注册机,工具利用,web安全,安全,网络安全,测试工具

当出现这个界面,说明已经成功,点击 Next 可以直接使用了。

一、CA证书介绍

目的:为了解密HTTPS流量

  HTTPS为了传输数据加密安全性,在原有的HTTP协议上加入了套接字层SSL协议,并通过CA证书验证服务器身份,并对通信消息进行加密,为了抓取到HTTPS的数据流量一个重要的介质是BuspSuite的CA证书。

二、CA证书安装

Burp Suite 是通过拦截代理的方式。

如果未安装Burp的CA证书,抓取HTTPS的数据包会报如下错误:

burp注册机,工具利用,web安全,安全,网络安全,测试工具

且burp的历史抓包信息抓取不到HTTPS的数据:

burp注册机,工具利用,web安全,安全,网络安全,测试工具

》下载下来的证书:

burp注册机,工具利用,web安全,安全,网络安全,测试工具

》》依次打开浏览器 –>设置 ->隐私设置和安全性 ->安全 ->管理证书 ->证书 ->受信任的根证书颁发机构 ->导入

burp注册机,工具利用,web安全,安全,网络安全,测试工具

进入设置——搜索证书——再导入即可;根据向导,将证书放在“受信任的根证书颁发机构

burp注册机,工具利用,web安全,安全,网络安全,测试工具

最好能下载一个Proxy SwitchyOmega插件快速切换代理

burp注册机,工具利用,web安全,安全,网络安全,测试工具

burp注册机,工具利用,web安全,安全,网络安全,测试工具

1、Target

(目标)——显示目标目录结构的的一个功能。

2、Proxy

(代理)——拦截。Burp Proxy是利用Burp开展测试流程的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端与服务端之间传输的数据。

3、HTTP/S

http/s的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。

4、Spider

(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。

5、Decoder

Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。

6、Scanner

(扫描器)——高级工具,执行后,它能自动地发现web应用程序的安全漏洞。主要用于自动检测web系统的各种漏洞。

7、Intruder

(入侵)--- 个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing技术探测常规漏洞。这是一个定制的高度可配置的工具。可以对web应用程序进行自动化的攻击,如通过标识符枚举用户名、ID和账号密码,模糊测试、sql注入、跨站、目录遍历等等。

8、Repeater

(中继器)----个靠手动操作来触发单独的HTTP请求,并分析应用程序响应的工具。是一个手动修改、补发个别http请求,并分析它们的响应的工具。它最大的用途就是能和其他bp工具结合起来用可以将目标站点地图、proxy的浏览记录、burp Intruder的攻击结果,发送到Reapeater上,并手动调整。

9、Comparer

(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。

10、Sequencer

(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。用于分析数据样本随机性质量的工具,可以用它测试应用程序的会话令牌、密码重置令牌是否可预测等场景。有信息截取、手动加载、选项分析三部分。

11、Extender

(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suite的功能。12、Options

(设置)——对Burp Suite的设置。

关/注/公/众/号【助安社区】渗透零基础到入门都在这,社区/内/部红队沙龙、资源共享和大厂工作经验。真正热爱安全和喜欢技术交流的小伙伴欢迎加入我们。文章来源地址https://www.toymoban.com/news/detail-669420.html

到了这里,关于网络安全渗透神器——Burp Suite使用教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Burp Suite入门及使用详细教程

    Burp Suite是用于攻击web应用程序的集成平台,接下来通过本文给大家介绍Burpsuite入门及使用详细教程,感兴趣的朋友一起看看吧 目录 1、简介 2、标签 3、操作 Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程

    2024年02月15日
    浏览(57)
  • 网络安全入门 5 天速成教程_ WEB 安全渗透攻防技术

    前言 随着 Web 技术发展越来越成熟,而非 Web 服务越来越少的暴露在互联网上,现在互联网安全主要指的是 Web 安全。 为了自身不“裸奔”在大数据里,渐渐开始学习 Web 安全,在学习 Web 安全的过程中,发现很大一部分知识点都相对零散,如果没有相对清晰 的脉络作为参考,

    2024年04月23日
    浏览(48)
  • 【THM】Burp Suite:Other Modules(其他模块)-初级渗透测试

    除了广泛认可的Repeater和Intruder房间之外,Burp Suite 还包含几个鲜为人知的模块。这些将成为这个房间探索的重点。 重点将放在解码器、比较器、排序器和组织器工具上。它们促进了编码文本的操作,支持数据集的比较,允许分析捕获的令牌内的随机性,并帮助您存储和注释

    2024年04月11日
    浏览(44)
  • 网络安全竞赛——综合靶机渗透测试ZHCS-2全过程解析教程

    任务一:综合靶机渗透测试 任务环境说明: 服务器场景:ZHCS-2(关闭连接) 服务器场景操作系统:版本不详 扫描目标靶机将靶机开放的所有端口,当作flag提交(例:21,22,23)   FLAG:22,80 扫描目标靶机将靶机的http服务版本信息当作flag提交(例:apache 2.3.4)   FLAG: lighttpd 1.

    2024年02月09日
    浏览(42)
  • 如何使用Kali Linux的Nmap网络安全扫描神器

    一、背景介绍 nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。 通常我们在进行网络安全测试

    2024年04月26日
    浏览(43)
  • 网络安全渗透测试工具AWVS14.6.2的安装与使用(激活)

    Acunetix Web Vulnerability Scanner(AWVS)是一款用于检测网站和Web应用程序中安全漏洞的自动化工具。它的主要功能包括: 漏洞扫描:AWVS能够自动扫描目标网站和Web应用程序,以发现各种安全漏洞,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。它可以检测一系列漏洞,并

    2024年02月06日
    浏览(56)
  • 【十年网络安全工程师整理】—100渗透测试工具使用方法介绍

     渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对 某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告, 并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告, 可以清晰知晓系统中存在的安

    2024年02月02日
    浏览(50)
  • Burp Suite 安装教程

    Burp Suite是一个用于攻击web应用程序的集成化的渗透测试工具,它集合了多种渗透测试组件,能够使我们更好的完成对web应用的渗透测试和攻击 因为BurpSuite需要在Java环境下运行,所以安装BurpSuite之前需要配置好Java环境。 具体的方法可自行百度,可参考配置JAVA的环境变量设置

    2024年02月08日
    浏览(42)
  • Web安全——Burp Suite基础上

    Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。但Burp Suite是用Java语言开发的,运行时依赖于JRE,需要提前Java可运行环境。如果没有配置Java环境或者不知道如何配置的童鞋请参考win7电脑上的Java环境配置 配置完Java环境之后,首先验证Java配置是否正确,如

    2024年02月13日
    浏览(48)
  • 《WEB安全渗透测试》(35) 使用Burp Clickbandit测试点击劫持

    点击劫持指的是,通过覆盖不可见的框架误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 Burp Clickbandit 是用于生成点击劫持攻击的工具,当发现可能容易受到点击劫持的网页时,可以使用 Bu

    2024年02月04日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包