神兵利器:Burpsuite工具分享与使用简介
引:工欲善其事,必先利其器。
在进行Web安全或者渗透测试时,大多数情况你一定会用到Burpsuite这款响当当的Web安全漏洞评估框架,也可以称之为:平台(platform)。
Burpsuite该工具的最新版已经更新到了1.7.26,但是笔者是用的v1.6.18,因为有些工具并不是最新就是最好用的,需要考虑兼容性和稳定性等多方面的因素。
目前,BurpSuite最新版已经集成了如下模块:
- Repeater
- Sequencer
- Decider
- Conparer
- Extender
- Project options
- User options
- Alerts
- Target
- Proxy
- Spider
- Scanner
- Intruder
每个模块都负责不同的部分,比如较常用的:
Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。
Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。
Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
在后续的文章中笔者会介绍各个模块的功能使用,因为这个博客也是笔者在黑客生涯和渗透生涯中的一些积累,都会分享到博客上,大牛勿喷。
下载地址:
百度云:链接:http://pan.baidu.com/s/1jH4rXum 密码:qdm9
注:转载请说明出处。