Burpsuite神器使用

 

 

     Burpsuite是由JAVA语言编写，所以Burpsuite是一款跨平台的软件。但是在测试过程中Burpsuite不像其他自动化测试工具不需要输入任何内容即可完成测试，而需要手动的配置某些参数触发对应的行为才会完成测试。

  

一般情况在使用Burpsuite访问http网页的时候是没问题的，但是在访问https 的时候会提示证书不安全，这个时候需要安装ca证书才能解决该问题

 

操作步骤：

1、使用管理员权限打开浏览器

2、然后在浏览器输入： http://burp/

3、在网页的右侧会有证书的字体，我们点击字符然后下载，安装ca证书。

 

   Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心，通过代理模式，可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。

 

    Forward表示将截断的HTTP或HTTPS请求发送到服务器。

    Drop表示将截断的HTTP或HTTPS请求丢弃。

    Intercept is on 和 Intercept is off 表示开启或关闭代理截断功能。
    

     Action表示将代理截断的HTTP或HTTPS请求发送到其他模块或做其他处理。 

    对Intercept进行 Raw Hex Params Header 切换查看不同的数据格式。

   

 

 

 

 

 

HTTP history用来查看提交过的HTTP请求。

Filter可以过滤显示某些HTTP请求。点击Filter就可以打开。对于指定URL可以选中右键点击，执行其他操作。WebSockets hIstory与HTTP history功能类似。

 

 

 

 Options具有的功能：代理监听设置、截断客户端请求、截断服务器响应、截断WebSocket通信、服务端响应修改（绕过JS验证文件上传）、匹配与替换HTTP消息中的内容、通过SSL连接Web服务器配置、其他配置选项。

   

 

 

 

 通过设置Proxy Listeners来截断数据流量。比如设置监听端口等。

 

 

 通过设置Intercept Client Requests来截断符合条件的HTTP请求

 

 

 

 

 通过设置Intercept Server Response来筛选出符合条件的HTTP响应

 

 

 

 

 

 

 

 

可以修改HTTP请求和HTTP响应中的内容。

 

 

 

 

 设置使用Burp直接通过SSL直连到目标服务器

 

 

 通过杂项设置对应的请求头等信息。