Burp Suite的使用介绍
在网上找了一篇关于Burp Suite的使用介绍,感觉写的基础的,下面就copy了,另外还有一篇《BurpSuite实战指南》的pdf是一位好心的“前辈”共享的https://www.gitbook.com/book/t0data/burpsuite/details,感觉写的也很系统和基础。
《Burp Suite使用介绍(一)(二)(三)》(信息量也很大);文章来源:http://www.2cto.com/article/201406/310929.html
ps:下面是部分copy用来简单的介绍一下burp suit 。
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
1
.Target(目标)——显示目标目录结构的的一个功能
2
.Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
3
.Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
4
.Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。
5
.Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
6
.Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
7
.Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
8
.Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
9
.Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
10
.Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
11
.Options(设置)——对Burp Suite的一些设置
Burp Suite功能按钮键翻译对照
导航栏
|
|||
Burp | BurpSuite | save state wizard | 保存状态向导 |
restore state | 恢复状态 | Remember setting | 记住设置 |
restore defaults | 恢复默认 | Intruder | 入侵者 |
Start attack | 开始攻击(爆破) | Actively scan defined insertion points | 定义主动扫描插入点 |
Repeater | 中继器 | New tab behavior | 新标签的行为 |
Automatic payload positions | 自动负载位置 | config predefined payload lists | 配置预定义的有效载荷清单 |
Update content-length | 更新内容长度 | unpack gzip/deflate | 解压gzip/放弃 |
Follow redirections | 跟随重定向 | process cookies in redirections | 在重定向过程中的cookies |
View | 视图 | Action | 行为 |
功能项
|
|||
Target | 目标 | Proxy | 代理 |
Spider | 蜘蛛 | Scanner | 扫描 |
Intruder | 入侵者 | Repeater | 中继器 |
Sequencer | 定序器 | Decoder | 解码器 |
Comparer | 比较器 | Extender | 扩展 |
Options | 设置 | Detach | 分离 |
Filter | 过滤器 | SiteMap | 网站地图 |
Scope | 范围 | Filter by request type | 通过请求过滤 |
Intercept | 拦截 | response Modification | 响应修改 |
match and replace | 匹配和替换 | ssl pass through | SSL通过 |
Miscellaneous | 杂项 | spider status | 蜘蛛状态 |
crawler settings | 履带式设置 | passive spidering | 被动蜘蛛 |
form submission | 表单提交 | application login | 应用程序登录 |
spider engine | 蜘蛛引擎 | scan queue | 扫描队列 |
live scanning | 现场扫描 | live active scanning | 现场主动扫描 |
live passive scanning | 现场被动扫描 | attack insertion points | 攻击插入点 |
active scanning optimization | 主动扫描优化 | active scanning areas | 主动扫描区域 |
passive scanning areas | 被动扫描区域 | Payload | 有效载荷 |
payload processing | 有效载荷处理 | select live capture request | 选择现场捕获请求 |
token location within response | 内响应令牌的位置 | live capture options | 实时捕捉选项 |
Manual load | 手动加载 | Analyze now | 现在分析 |
Platform authentication | 平台认证 | Upstream proxy servers | 上游代理服务器 |
Grep Extrack | 提取 |