Burpsuite
简介
Burpsuite 一款网络流量分析工具,用于抓取电脑端、移动端等通信流量。
官网:https://portswigger.net/
安装
最新版Burpsuite需要高版本JAVA(大于JAVA1.8)环境。
目前,我一般系统装备两套JAVA环境。
JAVA环境配置可自行百度。
目前网络上,针对于Burpsuite存在两套破解版。
一套是自带JAVA环境的破解版,一套是需要自己配置JAVA环境的破解版。
功能介绍
Untitled
名称 | 翻译 | 简介 |
---|---|---|
Dashboard | 仪表盘 | 项目整体概况 |
Target | 目标 | 目标整体概况 |
Proxy | 代理 | 捕获的流量会在这里显示,十分重要 |
Intruder | 测试器 | 发送大量数据包,用于测试并发、信息遍历、SQL注入语句等 |
Repeater | 重发器 | 用于验证单个数据包是否存在问题 |
Decoder | 解码器 | 内置常用加解密算法 |
Extender | 扩展器 | 用于安装一些第三方插件 |
Project options | 项目选项 | 一些项目基本设置,可用于设置上游代理、过双向认证 |
User options | 用户选项 | 一些用户基本设置,可用于设置上游代理、过双向认证 |
其余功能在测试中使用的比较少,主要使用最多的还是代理功能、测试器、重发器。
教程
- 安装Burpsuite证书 生成CA证书
Untitled系统设置中配置上代理(更好的办法是浏览器安装插件,如谷歌浏览器的SwitchyOmega,火狐浏览器的FoxyProxy)
Untitled本地访问http://127.0.0.1:8080/,下载并安装CA证书。
Untitled选择本地计算机,将证书安装至受信任的根证书颁发机构。
Untitled访问网站,Burpsuite中就会有流量被捕捉。(不装证书也会有流量,但是服务器不一定会响应。)
Untitled
- 重发器 在Proxy捕获的数据包中,右键发送到重发器。
Untitled在重发器中可以修改数据包,再发送给服务器。
Untitled
- 测试器 在Proxy捕获的数据包中,右键发送到测试器。
Untitled添加payload
Untitled设置payload类型后,便可以开始攻击。
Untitled可以看到payload被替换了,在日常测试中,我们常常根据状态,长度来判断是否存在安全问题。
Untitled
注意
网络并非非法之地。无论是做什么事,请注意有无授权。
未授权的测试行为,都是违法的。甲方有权利追究责任。
如果发现计算机不能上网了,在系统设置里面把代理关闭。
如果还是不能上网,可以利用管家的网络诊断功能,诊断一下。
如果还是不能访问网络,可以直接在下面留言。
相关文章
- 【架构师(第二十五篇)】编辑器开发之属性编辑区域表单渲染
- 【架构师(第二十六篇)】编辑器开发之属性编辑同步渲染
- 2021年度“CCF-腾讯犀牛鸟基金”发布结题评优结果
- 【架构师(第二十七篇)】前端单元测试框架 Jest 基础知识入门
- 太空噗|重燃太空热潮!与噗噗星人一同探索星海浪漫
- 算法工程师深度解构ChatGPT技术
- 【架构师(第二十八篇)】 测试工具 Vue-Test-Utils 基础语法
- 【架构师(第二十九篇)】Vue-Test-Utils 触发事件和异步请求
- 【架构师(第三十篇)】Vue-Test-Utils 全局组件和第三方库 vuex | vue-router
- 【架构师(第三十一篇)】前端测试之 TDD 的开发方式
- 【架构师(第三十二篇)】 通用上传组件开发及测试用例
- 【架构师(第三十三篇)】 Vue 中的实例及本地图片预览
- 【架构师(第三十四篇)】 业务组件库开发之 vue3 的插件系统
- 【架构师(第三十五篇)】 业务组件库开发之使用 Rollup 进行打包
- 【架构师(第三十六篇)】 业务组件库开发之发布到 NPM
- 【架构师(第四十二篇)】 服务端开发之常用的登录鉴权方式
- 【架构师(第四十三篇)】 服务端开发之单元测试和接口测试
- 【架构师(第四十四篇)】 服务端开发之 pm2 和 nginx 介绍
- 【架构师(第四十六篇)】 服务端开发之安装 Docker
- 【架构师(第四十七篇)】 服务端开发之认识 Docker