安全测试-抓包工具BurpSuite
Brup Suite
BurpSuite是用于攻擊web應用程序的集成平臺。它包含了許多工具,并為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP消息,持久性,認證,代理,日志,警報的一個強大的可擴展的框架。
功能介紹
proxy–Burp Suite帶有一個代理,通過默認端口8080上運行,使用這個代理,我們可以截獲并修改從客戶端到web應用程序的數據包.
Spider–用來抓取Web應用程序的鏈接和內容等,它會自動提交登陸表單(通過用戶自定義輸入)的情況下.Burp Suite的蜘蛛可以爬行掃描出網站上所有的鏈接,。
Scanner–用于掃描Web應用程序漏洞 。
Intruder–此功能呢可用語多種用途,如利用漏洞,Web應用程序模糊測試,進行暴力猜解等.
Repeater–此功能用于根據不同的情況修改和發送修改過的請求并分析。
Sequencer–此功能主要用來檢查Web應用程序提供的會話令牌的隨機性。
Decoder –此功能可用于解碼數據找回原來的數據形式,或者進行編碼和加密數據。
Comparer–此功能用來執行任意的兩個請求,響應或任何其它形式的數據之間的比較。
?
環境:JAVA環境,需將BurpSuite環境變量的Path中
?
啟動:
1. 通過雙擊BurpLoader.jar啟動
2. 在CMD下通過命令java -jar BurpLoader.jar 啟動
?
Chrome插件:SwitchyOmega.crx 下載需FQ
設置代理為本機: HTTP 127.0.0.1 8080
選擇Proxy即可通過代理抓包
?
Https抓包
通過Proxy>Options>import /export CA certificate導出一個BurpSuite的證書給瀏覽器
?
數據包可通過BurpSuite的Proxy中的Http History,點擊右鍵進行各種操作
如通過Repeater修改和發送修改過的請求并分析
通過Scanner掃描web漏洞
?
java -jar BurpLoader.jar
轉載于:https://www.cnblogs.com/leilei0111/p/6200908.html
總結
以上是生活随笔為你收集整理的安全测试-抓包工具BurpSuite的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一个Java工程师的入门级Linux命令
- 下一篇: apiCloud中图片裁剪模块FNIma