burp suite使用

最近在了解安全方面的知识点，下面是burp suite笔记

在intercept标签中，按钮功能如下所示：

forward：当你编辑之后，发送信息到服务器或浏览器

Drop：当你不想发送这次信息可以点击drop放弃这个信息

interceptionis on/off: 这个按钮用来切换和关闭所有拦截，如果按钮显示interceptions on，表示请求和响应将被拦截或自动转发，根据配置的拦截规则配置代理选项，如果按钮显示interception is off则显示拦截之后的所有信息将自动转发。

作者：测试开发Kevin

链接：https://www.jianshu.com/p/5691807ddd35

来源：简书

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

Action：说明一个菜单可用的动作行为操作可以有哪些操作功能：

Send to Spider 发送给spider进行爬取

Do an active scan 执行主动扫描

Send to Intruder 发送到入侵者

Send to Repeater 发送到中继器

Send to Sequencer 发送到序列发生器

Send to Comparer 发送到比较器

Send to Decoder 发送到解码器

Request in browser 在浏览器的请求

Engagement tools 参与工具

Change request method 对所有的请求，经过把所有相关的请求参数适当地搬迁到这个请求里来，你就可以自动地把请求的方法在 POST 和 GET 中间切换。通过发送恶意的请求使用这个选项来快速测试应用程序的极限参数是多少。

Change body encoding 对于所有的请求，你可以在应用程序/X-WWW 格式的 URL 编码和多重表单/数据之间切换消息体的编码方式。

Copy URL 把当前的 URL 完整地复制到粘贴板上。

Copy as curl command 作为curl命令

Cope to file 这个功能允许你把选择一个文件，并把消息的内容复制到这个文件里。这个对二进制数据来说是很方便的，要是通过粘贴板来复制会带来一些问题。复制操作是在选择的文本上进行的，如果没有被选中的内容，则是针对整个消息了。

Pase form file 这个功能允许你选择一个文件，并把文件里的内容粘贴到消息里。这个对二进制数据来说是很方便的，要是通过粘贴板来复制会带来一些问题。粘贴操作会替换掉被选中的内容，如果没有内容被选中，则在光标位置插入这些内容。

Save item 这个功能让你指定一个文件，把选中的请求和响应以XML的格式保存到这个文件，这里面包括所有的元数据如：响应的长度，HTTP 的状态码以及 MIME 类型。

Don't intercept requests 通过这些命令可以快速地添加拦截动作的规则来阻止拦截到的消息，这些消息和当前的消息有着相同的特征(如远程主机，资源类型，响应编码)。

Do intercept 仅对请求有效，这允许你可以对当请求和响应的进行强制拦截。

Convert seiection 这些功能让你能够以多种方案对选择的文本进行快速的编码和解码。

URL-encode as you type 如果这个选项被打开，你输入的像&和=这样的符号会被等价的 URL编码代替。

Cut 剪切

Copy 复制

Paste 粘贴

Message edit help 消息编辑帮助

Proxy interception help 代理拦截帮助

 

Intruder

Burp Intruder是一个强大的工具，用于自动对Web应用程序自定义的攻击，Burp Intruder 是高度可配置的，并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务，包括枚举标识符，获取有用数据，漏洞模糊测试。合适的攻击类型取决于应用程序的情况，可能包括：缺陷测试：SQL 注入，跨站点脚本，缓冲区溢出，路径遍历；暴力攻击认证系统；枚举；操纵参数；拖出隐藏的内容和功能；会话令牌测序和会话劫持；数据挖掘；并发攻击；应用层的拒绝服务式攻击。