Web漏洞扫描器—Burp Suite
Burp Suite—常规操作
抓包分析软件
从安装到使用抓包分析软件
一、Burp Suite—简介
Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。
Burp Suite 是用于攻击web应用程序的集成平台,包含了许多工具。Burp Suite 为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并且能够处理对应的HTTP消息、持久性、认证、代理、日志、警报。
Burp Suite 是我们渗透测试人员在工作中最常用的工具,用来分析数据包进行测试。
二、Burp Suite—原理
浏览器和相关应用程序的中间拦截、修改、重放数据包的代理工具
三、Burp Suite—安装配置
1、安装Java 64位环境
https://www.java.com/zh_CN/download/
2、安装 jython 环境 jar 版本
https://www.jython.org/downloads.html
3、安装 Jruby 环境 jar 版本
https://www.jruby.org/download
4、设置浏览器代理
5、导入 HTTPS 证书
四、常用模块介绍
在渗透测试常用到的模块
1、Burp Target模块
查看目标整体情况,以及可能存在的攻击面,包含目录爬行等信息
教程链接:https://blog.csdn.net/u011781521/article/details/54463637
2、Burp Proxy模块
综合的分析数据模块,提供历史数据以及代理配置选项
教程链接:https://blog.csdn.net/u011781521/article/details/54426967
3、Burp Intruder模块
自动化测试工具,在渗透测试中常常使用该模块进行模糊测试等情况
教程链接:https://blog.csdn.net/weixin_44037296/article/details/102781785
4、Burp Repeater模块
手工验证HTTP消息的测试,用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析
教程链接:https://blog.csdn.net/u011781521/article/details/54772846
5、Burp Extender模块
Burp自带的第三方插件库,允许用户自己添加以及下载
教程链接:https://blog.csdn.net/u011781521/article/details/54774027
6、Burp Decoder模块
教程链接:https://blog.csdn.net/u011781521/article/details/54773780
五、Burp Suite—插件利用检测
1、插件的安装
1、安装 python 环境
2、安装 sqlmap
3、添加环境变量
4、下载 sqlmap.jar 扩展包:http://pan.baidu.com/s/1skDVwq5 密码:ce5f
4、burp 加载插件
2、XSS插件的安装
1、Phantomjs 下载:http://phantomjs.org/download.html 配置环境变量,把bin目录下的exe加入环境变量,文件放在python script目录下
2、安装 xssValidator BApp Store
3、下载 xss.js 下载地址为:https://github.com/nVisium/xssValidator
4、利用 phantomjs 运行xss.js C:
3、XSS插件和Burp使用
1、配置插件
2、抓包发送到 Intruder
3、配置 payload s为 xssValidator
4、配置 Intruder options 的 grep - match
5、开始
4、开源的插件项目
Burp Suite 的强大除了自身提供了丰富的可供测试人员使用的功能外,其提供的支持第三方拓展插件的功能也极大的方便使用者编写自己的自定义插件。Burp Suite 支持的插件类型有 Java、Python、Ruby 三种。无论哪种语言的实现,开发者只要选择自己熟悉的语言,按照接口规范去实现想要的功能即可。
1、BApp Store 插件商店下载
2、开源插件项目github:https://github.com/search?utf8=%E2%9C%93%q=burp
5、抓取手机APP数据包
使用模拟器安装App应用,使用 Burp 抓取手机数据包
教程链接:https://blog.csdn.net/qq_23066945/article/details/103008400
6、配置监听IP
教程链接:https://blog.csdn.net/YIGAOYU/article/details/105382966
Web漏洞扫描器—Burp Suite相关推荐
- 通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二) 1
一.背景 笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘.工具挖掘.代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存 ...
- 10大Web漏洞扫描器
10大Web漏洞扫描器 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重.最广泛.危害性最大的安全问题.如华为.RSA.赛门铁克.联想ThinkPa ...
- web漏洞扫描器原理_【技术分享】漏洞扫描技巧篇Web 漏洞扫描器
0x00 前言 之前 我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有 ...
- 主流WEB漏洞扫描器种类及其指纹特征分析
文章来源于信安旅途 Tips 文章最下方有小礼品噢~ 看完文章先嘛~ 0x01 Web漏洞扫描器 国内: 绿盟(WVSS):https://www.nsfocus.com.cn/html/2019/2 ...
- web漏洞扫描器原理_漏洞扫描技巧篇 「Web 漏洞扫描器」
0x00 前言 之前我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有什 ...
- 小陈WEB漏洞扫描器 V2.0
小陈WEB漏洞扫描器 V2.0 小陈WEB漏洞扫描器 V2.0 https://pan.baidu.com/s/1NSmFCyxowEa3YlOuhvtwwQ 转载于:https://www.cnbl ...
- 如何在MAC上安装并运行Web漏洞扫描器Arachni
如何在MAC上安装并运行Web漏洞扫描器Arachni 如何在MAC上安装并运行Web漏洞扫描器Arachni1如何在MAC上安装并运行Web漏洞扫描器Arachni2如何在MAC上安装并运行Web漏 ...
- web漏洞扫描器-Burpsuite 常规测试
注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关. 一.Burp Suite简介 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成 ...
- web漏洞扫描器原理_web应用防火墙对于网站防护有多重要!
大型的Web应用易受多种攻击,如SQL注入和跨站脚本攻击漏洞,由此可以造成宕机时间.效率降低.数据失窃.违规罚款.品牌受损.服务中断.客户不满等.为保护Web应用程序,建议企业利用Web应用防火墙. ...
最新文章
- unity3d游戏开发猜想——当程序猿老去
- ubuntu更改mysql的编码配置
- python中的闭包与装饰器教程
- 2019年1月已到,Java 8 要收费了吗?
- discuz设置用户每天回帖数_如何用Redis统计独立用户访问量,除了Hash跟Bitset,还有这个...
- 教育资源数字化 计算机和通讯,《计算机网络技术课程数字化资源开发研究》.doc...
- servlet request参数只能取一次解决方法
- 基于Jenkins 快速搭建持续集成环境
- QTreeView实现圆角样式
- 微信公众号、微信小程序的详细介绍
- uva12489 Combating cancer(树同构)
- 【Flink】Flink SQL 读取 CSV 文件
- java早餐点餐外卖网站系统
- 玉米社:软文营销推广_文案内容撰写需要注意哪些问题?
- 映射变换(缩放、旋转、剪切)
- 固态硬盘,机械硬盘,交换内存,虚拟内存,物理内存,这些你要知道!!
- java将表情字符串转表情符号_使用java将字符串中的表情符号替换为字符串
- 【UVA 11183】 Teen Girl Squad (定根MDST)
- 内存优化总结:ptmalloc、tcmalloc和jemalloc
- McAfee参与战略合作,i-house.com用区块链整合全球不动产交易市场