03 burpsuite

需要JDK
環(huán)境變量配置
系統(tǒng)變量中新建變量JAVA_HOME,值為jdk的安裝目錄(C:\Program Files\Java\jdk1.8.0_144)
新建CLASSPATH變量,值為.;%JAVA_HOME%\lib
編輯path變量,增加C:\Program Files\Java\jdk1.8.0_144\bin
配置完成后在命令行輸入java,javac都有結(jié)果,證明jdk環(huán)境搭建成功

1.配置代理

image.png

image.png

2.配置burpsuite的代理和火狐瀏覽器的代理服務(wù)器:

image.png

image.png

https證書導(dǎo)入

測試https的網(wǎng)站需要導(dǎo)入burpsuite的證書才能抓取加密的數(shù)據(jù)包,導(dǎo)入證書的步驟如下:

Image.png

將證書保存到本地,然后在瀏覽器的證書管理處導(dǎo)入證書:

image.png

另外,訪問http://127.0.0.1:代理端口也可以將burpsuite下發(fā)的證書保存下來

image.png

burp中截取的請求:

proxy標(biāo)簽下開啟intercept on后,每一次http請求都會被burpsuite截獲,這里設(shè)置為off。在target標(biāo)簽下找到目標(biāo)測試站,右鍵選擇“add to scope”


image.png

image.png

3.關(guān)掉攔截

image.png

4.設(shè)置掃描目標(biāo)

proxy標(biāo)簽下開啟intercept on后,每一次http請求都會被burpsuite截獲,這里設(shè)置為off。在target標(biāo)簽下找到目標(biāo)測試站,右鍵選擇“add to scope”


image.png

點擊Filter,勾選以下兩個選項過濾其他網(wǎng)站和文件


image.png

burpsuite會截取每次操作發(fā)起的請求,并發(fā)送到scanner模塊進(jìn)行掃描
image.png

第二種可以使用爬蟲功能先爬取目標(biāo)站點再進(jìn)行掃描。在target標(biāo)簽下右鍵目標(biāo)網(wǎng)站“spider this host”,啟動爬蟲功能爬去目標(biāo)站點,可在spider標(biāo)簽下看到運行狀態(tài),有可能需要提交用戶名密碼的表單

image.png

爬蟲執(zhí)行結(jié)束后,在target標(biāo)簽下右鍵目標(biāo)站點“actively scan this host”

image.png

勾選以下幾項,開始掃描


image.png

掃出的漏洞在target標(biāo)簽下能看到匯總的漏洞情況以及漏洞的具體信息(其中紅色為高危漏洞,帶問號的為不確定是否存在的漏洞,需要再次驗證)


image.png

主動掃描


image.png

查看掃描詳情


image.png

掃描狀態(tài)


image.png

5.導(dǎo)出報告

可以選擇導(dǎo)出html和xml兩種格式的報告,以html為例

image.png

二、一些配置項

針對抓取的地址

image.png

過濾器設(shè)置

image.png

導(dǎo)入字典

image.png

添加擴展包

image.png

image.png

導(dǎo)出

image.png

導(dǎo)出測試報告

image.png

image.png

burpsuite具有以下功能:
Proxy——是一個攔截HTTP/S的代理服務(wù)器,作為一個在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人,允許你攔截,查看,修改在兩個方向上的原始數(shù)據(jù)流。
Spider——是一個應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲,它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。
Scanner[僅限專業(yè)版]——是一個高級的工具,執(zhí)行后,它能自動地發(fā)現(xiàn)web 應(yīng)用程序的安全漏洞。
Intruder——是一個定制的高度可配置的工具,對web應(yīng)用程序進(jìn)行自動化攻擊,如:枚舉標(biāo)識符,收集有用的數(shù)據(jù),以及使用fuzzing 技術(shù)探測常規(guī)漏洞。
Repeater——是一個靠手動操作來補發(fā)單獨的HTTP 請求,并分析應(yīng)用程序響應(yīng)的工具。
Sequencer——是一個用來分析那些不可預(yù)知的應(yīng)用程序會話令牌和重要數(shù)據(jù)項的隨機性的工具。
Decoder——是一個進(jìn)行手動執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具。
Comparer——是一個實用的工具,通常是通過一些相關(guān)的請求和響應(yīng)得到兩項數(shù)據(jù)的一個可視化的“差異”。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容