Burp Suite工具使用

定义

1、burp suite是一款集成化的渗透测试工具，包含了很多功能，可以帮助我们高效完成对

web应用程序的渗透测试和攻击。

2、burp suite有java语言编写，基于java自身跨平台性，是这款软件学些和使用起来更方便

它需要手动配置一些参数，触发一些自动化流程，然后才会开始工作。

3、Burp Suite可执行程序是Java文件类型的jar文件，免费版可以从官方上下载。免费版的

会有很多限制，无法使用高级工具，如果想使用更多的高级功能

呢，需要付费购买专业版。专业版与免费版的主要区别有以下三点：

　　• 1.Burp Scanner

　　• 2.工作空间的保存和恢复

　　• 3.拓展工具

 

安装环境

1、java-JDK安装 

2、Burp Suite工具

 

想必大家对JDK安装都很熟悉了，这里就不做过多的介绍  。安装好后，只需把安装路径bin目录加到系统环境变量就行了，java -version测试下是否配置成功。

如果对JDK环境变量不清楚的，可以看下以下文章

https://blog.csdn.net/qq_38125058/article/details/82890856

 

工具使用

Burp Suite安装成功后，以下就是它的大致图形界面，菜单栏有很多功能选项，但我们这次只会用到代理，与编码器选项。如果想多了解Burp Suite可以去看下此链接

https://t0data.gitbooks.io/burpsuite/content/chapter1.html

 

哈哈，讲了这么多废话，下面给大家做一个简单抓包测试例子吧，理论学的再多还不如结合实际练习一下

步骤一：设置代理地址和端口（端口可以随便设置），地址为本机地址：　

注：因本人浏览器兼容问题，这次实验采用OWASP Mantra Janus浏览器测试，这个浏览器集成了很多插件，特别适合渗透使用。

 

步骤二：配置浏览器代理，找到左边插件FoxyProxy Standard插件

 

添加代理服务器，这里地址、端口要与BurpSuite保持一致，否者在执行抓包时Burp Suite抓不到包

 

步骤三：现在准备工作已完成，那我们开始抓包吧，把拦截请求开启

  

步骤四：在浏览器输入搜索关键字

此时大家应该注意到了，浏览器一直显示正在连接状态，说明我们BurpSuite拦截起作用了，回到burpsuite工具，现在可以看到里面显示了很多包信息，这就是我们刚刚抓的一个包，包里面包含了很多我们搜索关键字信息，请求方式、主机名、用户代理、接受方式、接受语言、搜索信息、Cookie、连接状态等

到这里这个例子已经完成，如果读者还需多了解相关知识，可以去看下以下链接，里面讲了很多BurpSuite其它功能使用

https://t0data.gitbooks.io/burpsuite/content/chapter1.html