Burpsuite神器使用
Burpsuite是由JAVA语言编写,所以Burpsuite是一款跨平台的软件。但是在测试过程中Burpsuite不像其他自动化测试工具不需要输入任何内容即可完成测试,而需要手动的配置某些参数触发对应的行为才会完成测试。
一般情况在使用Burpsuite访问http网页的时候是没问题的,但是在访问https 的时候会提示证书不安全,这个时候需要安装ca证书才能解决该问题
操作步骤:
1、使用管理员权限打开浏览器
2、然后在浏览器输入: http://burp/
3、在网页的右侧会有证书的字体,我们点击字符然后下载,安装ca证书。
Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。
Forward表示将截断的HTTP或HTTPS请求发送到服务器。
Drop表示将截断的HTTP或HTTPS请求丢弃。
Intercept is on 和 Intercept is off 表示开启或关闭代理截断功能。
Action表示将代理截断的HTTP或HTTPS请求发送到其他模块或做其他处理。
对Intercept进行 Raw Hex Params Header 切换查看不同的数据格式。
Options具有的功能:代理监听设置、截断客户端请求、截断服务器响应、截断WebSocket通信、服务端响应修改(绕过JS验证文件上传)、匹配与替换HTTP消息中的内容、通过SSL连接Web服务器配置、其他配置选项。
通过设置Proxy Listeners来截断数据流量。比如设置监听端口等。
通过设置Intercept Client Requests来截断符合条件的HTTP请求
通过设置Intercept Server Response来筛选出符合条件的HTTP响应
可以修改HTTP请求和HTTP响应中的内容。
设置使用Burp直接通过SSL直连到目标服务器
通过杂项设置对应的请求头等信息。