文章首發(fā)于公眾號(hào)：軟件測(cè)試er??歡迎查看最新文章

BurpSuite介紹：

BurpSuite是一款信息安全從業(yè)人員必備的集成型的安全性測(cè)試工具，它采用自動(dòng)測(cè)試和半自動(dòng)測(cè)試的方式，包含了:
Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer

通過(guò)攔截HTTP/HTTPS的web數(shù)據(jù)包，充當(dāng)瀏覽器和相關(guān)應(yīng)用程序的中間人，進(jìn)行攔截、修改、重放數(shù)據(jù)包進(jìn)行測(cè)試。

Fiddler介紹：

Fiddler是一個(gè)http協(xié)議調(diào)試代理工具，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的http通訊，設(shè)置斷點(diǎn)，查看所有的“進(jìn)出”Fiddler的數(shù)據(jù)（指cookie,html,js,css等文件）。?

就是上篇提到的burpsuite,簡(jiǎn)單看下這個(gè)工具的頁(yè)面。具體使用可見整理的教程。

1.java環(huán)境配置

參考

https://blog.csdn.net/qq_41436122/article/details/82620080

https://blog.csdn.net/qq_26762031/article/details/81591393

2.burpsuite下載

官網(wǎng)：https://portswigger.net/burp

破解版1.71：

鏈接：https://pan.baidu.com/s/136mCXe4vlDJ5ZDaqnVK_EQ

提取碼：0sn1

破解版2.0：

鏈接：https://pan.baidu.com/s/1NJlwUWvIXHO8iXDMBwzn1A

提取碼：l2bc

3.安裝激活

http://www.itdecent.cn/p/edbd68d7c341

4.啟動(dòng)burpsuite

激活后直接打開burpsuite_pro_v1.7.11仍是未激活狀態(tài)，每次都需要從burp-loader-keygen處點(diǎn)擊run打開

比較方便的是cmd打開

java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.11.jar

可將以上語(yǔ)句保存到txt文件，修改后綴為bat。雙擊bat即可啟動(dòng)burpsuite

5.設(shè)置代理

參考https://www.cnblogs.com/JetpropelledSnake/p/8983676.html

6.使用教程

Proxy（基礎(chǔ)功能，攔截、改包等）：https://blog.csdn.net/weixin_38079422/article/details/80729158

實(shí)戰(zhàn)指南https://t0data.gitbooks.io/burpsuite/content/

7. ?基于Burpsuite的安全測(cè)試(結(jié)合場(chǎng)景)

基于Burpsuite的安全測(cè)試三：登錄認(rèn)證模塊-本地加密傳輸測(cè)試

基于Burpsuite的安全測(cè)試四：登錄認(rèn)證模塊-Session測(cè)試

基于Burpsuite的安全測(cè)試五：登錄認(rèn)證模塊-Cookie仿冒測(cè)試

基于Burpsuite的安全測(cè)試七：登錄認(rèn)證模塊-登錄失敗信息測(cè)試

基于Burpsuite的安全測(cè)試十：輸入/輸出模塊測(cè)試

基于Burpsuite的安全測(cè)試十二：驗(yàn)證碼機(jī)制測(cè)試

基于Burpsuite的安全測(cè)試十三：業(yè)務(wù)數(shù)據(jù)安全測(cè)試

更多：這個(gè)博客的基于Burpsuite的安全測(cè)試系列

https://blog.csdn.net/chang_jinling/article/list/1?

下篇用登錄功能講講安全性方面的設(shè)計(jì)點(diǎn)~

文章首發(fā)于公眾號(hào)：軟件測(cè)試er??歡迎查看最新文章