Burpsuite2021安装和基本使用

(jdk11.0可以  高版的的不行 低版本的也不行)

1、解压文件

2、修改burpsuite.bat文件

原先

修改后（注意--前面有个空格）

3、打开burpsuite.bat文件点击我接受

4、

5、选择手动激活

6、

7、安装成功

配置使用  burp配置https抓包方法

1、设置端口8081

 2、以火狐为主

3、安装CA证书

访问​​​​​​http://burp/

如果没有设置1和2 是不能访问下面这个页面的

4、点击下载

 5、导入刚下载的证书

在HTTPS通信过程中，一个很重要的介质是CA证书，所以需要进行Burp Suite中CA证书的安装

基本使用

 burp工具就是一个代理，浏览器发出的数据包都通过代理进行处理，如果转发，那么就会让浏览器和服务器之间进行交互。上面的on代表的代理启动，如果是off状态那么是代理关闭。

1、浏览器请求www.baidu.com，可以看到处于加载状态

 2、点击转发，那么浏览器就会得到内容

操作1 

正常访问IP/IPv6查询，服务器地址查询 - 站长工具

显示 

加上代理后，修改一下

 显示

操作2抓包app

1、首先设置网络，下面的一些都是自己适配器的网络

 2、设置一个端口号，这里设置的8888

3、设置安卓模拟器的网络，按住不动，

 

4、

 5、

面板按钮介绍

 

 

 除了在访问历史里面存在访问记录，在target同样存在这个内容

 

选择以后点击一下空白地方将进行过滤

 

 

sessionid 有时候一个用户是固定不变的 在退出登录或者是关闭浏览器时会设置为false 这时候还用那个session还能登入 ，sessionid必须是短时间有效的，不能使用固定id。

判断用户id有时候返回值不同，可以查看返回值进行判断。

sessionid生成要使用公用算法，不要使用自己的算法。

sessionid生成不要使用登录时间生成hash

如果key是128，很可能是MD5，如果是160位很可能是SHA1，如果是256很可能是SHA256。

在对密码找回生成邮件中的链接时，不要对邮箱信息直接查对应的md5值