Burpsuite的新手教程
你好啊!今天给大家介绍一款安全攻防"神器"——Burpsuite。下面让我们一起学习如何下载安装与运用吧!!
Burpsuite
一、学前须知:
Burpsuite 是白帽子日常测试Web应用程序安全的集成化图形化的测试平台,Burpsuite包含了许多工具。(如下所示)
Proxy(代理模块)——它是专门拦截http://(https://)的代理服务器,它就是存在于浏览器和Web应用程序之间的中间人,方便白帽子拦截,审计,伪造发送给Web应用的原始数据。
Spider(爬虫模块)——它是一款"人工智能版"的AI网络爬虫,它可以完整的爬出Web应用程序的请求与响应。
Scanner(扫描模块)——它是特殊的高级的工具,它在执行后可以自己发现Web网站——关于安全方面的大多数漏洞。
Intruder(入侵模块)——它是泛实用的可定义的可配置工具,它面向Web网站自动发起普遍的攻击方式。eg:以及枚举,反复提交,配合 技术探测常规漏洞。
Repeater(请求模块)——它是完全由白帽黑客手工构造,专门用来提交http://(https://)请求的工具,可以辅助"白帽子"分析Web网站的工具。
Sequencer(分析模块)——它是自动的用来分析Web网站中不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder(破解模块)——它是唯一可以对Web网站进行手工化,半自动化,及全自动化的智能解码编码的工具。
Comparer(对比模块)——它是特别的对比模块,常常用来对一些Web网站的请求和响应得到不同数据的一个可视化的“差异”。
一、设置代理
如图所示:切记:一定要配好代理IP与端口号!!!
如果不清楚位置请看Proxy(代理模块)
二、学习使用模块
1.Proxy(代理模块)和Intruder(入侵模块)和Decoder(破解模块)
如下图所示:
通过点击鼠标右键,把捕获的数据发给其他模块(例如:Intruder(入侵模块)和Decoder(破解模块)),进行分析及攻击!
2.Spider(爬虫模块)和Sequencer(分析模块)
事列如下所示:
== 分析模块是用来测试Web网站的Session Tokens,cookice等其他加密数据流的!==
该模块还可以进行Web网络数据的请求。
3.Repeater(请求模块)和Comparer(对比模块)
例如:burpsuite使用repeater模块的实现重放攻击
总结
最后我想告诉大家,虽然作为新手来说,Burpsuite的入门难点是:模块多样,参数复杂,设置多变。但是我希望这一篇文章能对你们有所帮助。我相信你如果掌握Burpsiute的使用方法后,一定可以在CTF比赛和漏洞挖掘中更加轻松。