BurpSuite
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效地分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。
BurpSuite通过截获终端与服务器通信的数据包,并通过修改、重放等操作来渗透。代理工具可以说是Burp Suite测试流程的一个心脏,它可以捕获通过浏览器来浏览应用程序产生的所有相关信息,并且开始进一步行动。
功能菜单简介
1.Target(目标)——显示目标目录结构的的一个功能
2.Proxy(代理)——是一个拦截HTTP/S的代理服务器(抓包),作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流
3.Spider(爬虫)——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能
4.Scanner(扫描器)[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞
5.Intruder(入侵)——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞
6.Repeater(中继器)——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具
7.Sequencer(会话)——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具
8.Decoder(解码器)——是一个进行手动执行或对应用程序数据者智能解码编码的工具
9.Comparer(对比)——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”
10.Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能
11.Options(设置)——对Burp Suite的一些设置
测试工作流程
Burp支持手动的Web应用程序测试的活动。它可以让你有效地结合手动和自动化技术,使你可以完全控制所有的BurpSuite执行的行动,并提供有关所测试的应用程序的详细信息和分析。 Burp Suite的测试流程过程如下图
BurpSuite教程
github上有个免费的burpsuite教程,详细介绍了各功能模块的用法。
版权声明:本文为博主原创文章,转载请注明出处。 旭日酒馆