burp-介绍和使用
1、介绍
burpsuite,简称为burp,是基于java开发的针对web应用程序的攻击平台。
官网:Burp Suite – Application Security Testing Software – PortSwigger
2、下载和安装
分为pro版和community版,前者收费,后者免费。
community版本无法使用pro的自动测试等功能,但大多数基础的功能还是保留。
本机使用Burpsuite community edition v2022.8.5.
3、启动
(1)创建
temporary project:短暂的项目,可见community版本只能选择该选项
new project on disk:保存到硬盘的新项目
open existing project:打开保存的项目
(2)配置
use burp defaults:使用默认的项目配置
load from configuration file:使用配置文件
4、dashboard仪表盘模块
需要注意的是右下方的内存使用和硬盘使用。
尤其针对community版本,如果大批量请求,会影响内存,可能造成请求缓慢,甚至爆掉。
5、Repeater重放模块
用于对请求的手动编辑,以及查看响应,进行分析。
需要注意,该模块的请求不会在target或者proxy中出现记录。以及理论上来说,repeater的请求可以任意符合http规范的编辑,包括请求其他域名,但是无法修改http协议。
请求方法建议大写,如果小写,一般会报400错误。而大写会根据是否支持,报404、405或其它
6、Decoder文本编码解码模块
7、Compare比较模块
注意:这里的比较以行为单位是很巧妙的设计,尤其是针对头部字段的比较。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战