一、BurpSuite簡介

Burp Suite 是用于攻擊web 應(yīng)用程序的集成平臺。它包含了許多工具，并為這些工具設(shè)計了許多接口，以促進加快攻擊應(yīng)用程序的過程。所有的工具都共享一個能處理并顯示HTTP 消息，持久性，認(rèn)證，代理，日志，警報的一個強大的可擴展的框架。

Burp Suite 包含了一系列burp 工具，這些工具之間有大量接口可以互相通信，之所以這樣設(shè)計的目的是為了促進和提高 整個攻擊的效率。平臺中所有工具共享同一robust 框架，以便統(tǒng)一處理HTTP 請求，持久性，認(rèn)證，上游代理，日志記錄，報警和可擴展性。Burp Suite允許攻擊者結(jié)合手工和自動技術(shù)去枚舉、分析、攻擊Web 應(yīng)用程序。這些不同

的burp 工具通過協(xié)同工作，有效的分享信息，支持以某種工具中的信 息為基礎(chǔ)供另一種工具使用的方式發(fā)起攻擊。

Burp Suite 的界面

Burp Suite界面

主要模塊：

1. Target(目標(biāo))——顯示目標(biāo)目錄結(jié)構(gòu)的的一個功能 
2. Proxy(代理)——攔截HTTP/S的代理服務(wù)器，作為一個在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數(shù)據(jù)流。 
3. Spider(蜘蛛)——應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲，它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。 
4. Scanner(掃描器)——高級工具，執(zhí)行后，它能自動地發(fā)現(xiàn)web 應(yīng)用程序的安全漏洞。 
5. Intruder(入侵)——一個定制的高度可配置的工具，對web應(yīng)用程序進行自動化攻擊，如：枚舉標(biāo)識符，收集有用的數(shù)據(jù)，以及使用fuzzing 技術(shù)探測常規(guī)漏洞。 
6. Repeater(中繼器)——一個靠手動操作來觸發(fā)單獨的HTTP 請求，并分析應(yīng)用程序響應(yīng)的工具。 
7. Sequencer(會話)——用來分析那些不可預(yù)知的應(yīng)用程序會話令牌和重要數(shù)據(jù)項的隨機性的工具。 
8. Decoder(解碼器)——進行手動執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具。 
9. Comparer(對比)——通常是通過一些相關(guān)的請求和響應(yīng)得到兩項數(shù)據(jù)的一個可視化的“差異”。
10. Extender(擴展)——可以讓你加載Burp Suite的擴展，使用你自己的或第三方代碼來擴展Burp Suit的功能。 
11. Options(設(shè)置)——對Burp Suite的一些設(shè)置
12. Alerts(警告)——Burp Suite在運行過程中發(fā)生的一寫錯誤

二、BurpSuite環(huán)境配置

由于BurpSuite是用java開發(fā)的所以要想使用這個工具、需先安裝JDK、在安裝好JDK之后、就要配置瀏覽器代理。

瀏覽器代理的設(shè)置

• 什么叫瀏覽器代理？

• 如何設(shè)置瀏覽器代理？
  • 360安全瀏覽器的代理設(shè)置
  • 火狐瀏覽器的代理設(shè)置

什么叫瀏覽器代理？

提供代理服務(wù)的電腦系統(tǒng)或其它類型的網(wǎng)絡(luò)終端稱為代理服務(wù)器（英文：Proxy Server）。一個完整的代理請求過程為：客戶端首先與代理服務(wù)器創(chuàng)建連接，接著根據(jù)代理服務(wù)器所使用的代理協(xié)議，請求對目標(biāo)服務(wù)器創(chuàng)建連接、或者獲得目標(biāo)服務(wù)器的指定資源。而所謂的瀏覽器代理就是給瀏覽器指定一個代理服務(wù)器，瀏覽器的所有請求都會經(jīng)過這個代理服務(wù)器。

如何設(shè)置瀏覽器代理？

1、360安全瀏覽器的代理設(shè)置

更多-工具-代理服務(wù)器-代理服務(wù)器設(shè)置

360安全瀏覽器的代理設(shè)置

2、火狐瀏覽器的代理設(shè)置

在火狐瀏覽器右上角打開菜單中選擇選項依次選擇“高級”->“網(wǎng)絡(luò)”->“設(shè)置”->“手動配置代理”，然后HTTP代理設(shè)置為127.0.0.1 端口設(shè)置為 8080（注：在BurpSuite中默認(rèn)為8080端口，其他端口請修改BurpSuite配置）

搜索代理

連接設(shè)置

連接設(shè)置

三、啟動BurpSuite

這里我用的是BurpSuite_v1.7.26的破解版

打開BurpSuite，點擊下一步

點擊netx

默認(rèn)、點擊Start Burp、然后進入主界面

Start Burp

四、使用BurpSuite攔截訪問信息

當(dāng)我們在瀏覽器里隨便訪問一個網(wǎng)頁時、請求或響應(yīng)的數(shù)據(jù)就會通過BurpSuite、我們可以在工具上進行查看與修改也就是抓包與改包、還可以讓他通過或者不通過。

在地址欄輸入www.baidu.com進行訪問時

請求的數(shù)據(jù)會通過BurpSuite、我們可以讓他通過或不讓它通過、點擊上的"Forward"讓他過去。

Forward:當(dāng)你編輯信息之后，發(fā)送信息到服務(wù)器或瀏覽器

Drop:當(dāng)你不想要發(fā)送這次信息可以點擊drop放棄這個攔截信息