Burp Suite工具使用
定义
1、burp suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效完成对
web应用程序的渗透测试和攻击。
2、burp suite有java语言编写,基于java自身跨平台性,是这款软件学些和使用起来更方便
它需要手动配置一些参数,触发一些自动化流程,然后才会开始工作。
3、Burp Suite可执行程序是Java文件类型的jar文件,免费版可以从官方上下载。免费版的
会有很多限制,无法使用高级工具,如果想使用更多的高级功能
呢,需要付费购买专业版。专业版与免费版的主要区别有以下三点:
• 1.Burp Scanner
• 2.工作空间的保存和恢复
• 3.拓展工具
安装环境
1、java-JDK安装
2、Burp Suite工具
想必大家对JDK安装都很熟悉了,这里就不做过多的介绍 。安装好后,只需把安装路径bin目录加到系统环境变量就行了,java -version测试下是否配置成功。
如果对JDK环境变量不清楚的,可以看下以下文章
https://blog.csdn.net/qq_38125058/article/details/82890856
工具使用
Burp Suite安装成功后,以下就是它的大致图形界面,菜单栏有很多功能选项,但我们这次只会用到代理,与编码器选项。如果想多了解Burp Suite可以去看下此链接
https://t0data.gitbooks.io/burpsuite/content/chapter1.html
哈哈,讲了这么多废话,下面给大家做一个简单抓包测试例子吧,理论学的再多还不如结合实际练习一下
步骤一:设置代理地址和端口(端口可以随便设置),地址为本机地址:
注:因本人浏览器兼容问题,这次实验采用OWASP Mantra Janus浏览器测试,这个浏览器集成了很多插件,特别适合渗透使用。
步骤二:配置浏览器代理,找到左边插件FoxyProxy Standard插件
添加代理服务器,这里地址、端口要与BurpSuite保持一致,否者在执行抓包时Burp Suite抓不到包
步骤三:现在准备工作已完成,那我们开始抓包吧,把拦截请求开启
步骤四:在浏览器输入搜索关键字
此时大家应该注意到了,浏览器一直显示正在连接状态,说明我们BurpSuite拦截起作用了,回到burpsuite工具,现在可以看到里面显示了很多包信息,这就是我们刚刚抓的一个包,包里面包含了很多我们搜索关键字信息,请求方式、主机名、用户代理、接受方式、接受语言、搜索信息、Cookie、连接状态等
到这里这个例子已经完成,如果读者还需多了解相关知识,可以去看下以下链接,里面讲了很多BurpSuite其它功能使用
https://t0data.gitbooks.io/burpsuite/content/chapter1.html