IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> Burp Suite小白入门(代理) -> 正文阅读

[网络协议]Burp Suite小白入门(代理)

一,介绍

Burp Suite是一款集成化的渗透测试工具,包含许多功能,我们可以使用他高效地完成对Web应用程序的渗透测试和攻击。总结:bp就是一个抓包,改包工具。

二,Burp Suite入门

(1)设置代理

1,http的代理

以火狐浏览器为例:

然后,当我们再点击burp suite的时候就可以去抓包了

??

2,https的代理

如上,抓http的包要用http代理;那么抓https的包,则要用https代理(SSL proxy)

http默认走的是80端口,https走的是443端口。两者端口不一样,要代理https就一定要用ssl去代理。(还没有完全理解呢)

设置https代理:

?由于https,多添加了一套ssl层(在tcp和http中间),用来加密,更安全。所以,burp suite有一个证书,安装证书之后就可以解密https传回的数据。
安装证书:

有两种下载证书的方法:

(1)打开代理后,浏览器访问http://burp。(注意!一定要开http代理,我第一次失败就是没有开代理)

(2)浏览器访问127.0.0.1:8080(这种方法不用开代理哦)

?导入证书:

仍然是以火狐浏览器为例:

?

?

然后我们就可以看到我们刚刚下载的证书啦~有了它我们burp suite就可以解密https协议里面的乱码数据了(关于SSL和证书的原理,请看我下一篇博客嘻嘻)?

?

抓https的包:

以抓取https://www.baidu.com为例:

?

但是有一个总结我目前还没有看懂,先记录在这里?:

?(2)BurpSuite主要功能模块

1,proxy(用来抓包)

proxy以拦截代理的方式,拦截所有通过代理的http和https协议的流量。通过拦截,bp以中间人的方式,可以对客户端请求数据,服务端返回做各种处理,已带到安全评估测试的目的。

Burp Proxy的拦截功能主要由intercept(intercept拦截/截夺)选项卡中的Forward、Drop、Interception is on/off和Action构成,他们的功能如下所示:

参考链接:http://t.csdn.cn/cdTLF?

打开浏览器,输入需要访问的URL并按回车键,这时将看到数据流量经过Burp Proxy并暂停,直到单击Foreword按钮,才会继续传输下去。如果单击了Drop按钮,这次通过的数据将丢失,不再继续处理。

?

当Burp Suite拦截的客户端和服务器交互之后,我们可以在Burp Suite的消息分析选项中查看这次请求的实体内容、消息头、请求参数等信息。Burp有四种消息类型显示数据包:Raw、Params、Headers和Hex。

? ? Raw主要显示web请求的raw格式,以纯文本的形式显示数据包,包含请求地址、Http协议版本、主机头、浏览器信息、Accept可接受的内容类型、字符集、编码方式、cookie等,可以通过手动修改这些信息,对服务器端进行渗透测试。(Raw就是以文本的形式显示数据包)

? ? Params主要显示客户端请求的参数信息,包括GET或者POST请求的参数、cookie参数。可以通过修改这些请求参数完成对服务器端的渗透测试。

? ? Headers中显示的是数据包中的头信息,以名称、值的形式显示数据包。

? ? Hex对应的是Raw中信息的二进制内容,可以通过Hex编辑器对请求的内容进行修改,在进行00截断时非常好用。

2,target?

3,Intruder(暴力破解)

?

?

?

?

?

?

?

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-10-31 12:34:57  更:2022-10-31 12:37:47 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 5:10:20-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计