安全测试:BurpSuite 学习使用教程

安全测试:BurpSuite 学习使用教程一、简介:BurpSuite是用于攻击web应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试

大家好,又见面了,我是你们的朋友全栈君。

一、简介:

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试

 

二、工具箱

 

       1.Target(目标)——显示目标目录结构的的一个功能

  2.
Proxy(代理)——是一个
拦截HTTP/S的代理服务器
抓包),作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
  3.
Spider(爬虫)——是一个应用智能感应的
网络爬虫,它能完整的枚举应用程序的内容和功能。
  
4.Scanner(扫描器)[仅限专业版]——是一个高级的工具,执行后,它能自动地
发现web 应用程序的
安全漏洞
  5.
Intruder(入侵)——是一个定制的高度可配置的工具,对web应用程序进行
自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
  6.
Repeater(中继器)——是一个靠
手动操作来补
发单独的HTTP 请求,并分析应用程序响应的工具。
  
7.Sequencer(会话)——是一个用来
分析那些不可预知的应用程序
会话令牌和重要
数据项的随机性的工具。
  8.
Decoder(解码器)——是一个进行手动执行或对应用程序数据者
智能解码编码的工具。
  
9.Comparer(对比)——是一个实用的工具,通常是通过一些
相关的请求和响应得到两项数据的一个
可视化的“差异”

      10.
Extender(扩展)——可以让你加载Burp Suite的
扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。

      11.
Options(设置)——对Burp Suite的一些
设置

 

安全测试:BurpSuite 学习使用教程

 

测试工作流程

 

Burp支持手动的Web应用程序测试的活动。它可以让你有效地结合手动和自动化技术,使您可以完全控制所有的BurpSuite执行的行动,并提供有关您所测试的应用程序的详细信息和分析。 让我们一起来看看Burp Suite的测试流程过程吧。 如下图

安全测试:BurpSuite 学习使用教程

简要分析

代理工具可以说是Burp Suite测试流程的一个心脏,它可以让你通过浏览器来浏览应用程序来捕获所有相关信息,并让您轻松地开始进一步行动,在一个典型的测试中,侦察和分析阶段包括以下任务:
手动映射应用程序-使用浏览器通过BurpSuite代理工作,手动映射应用程序通过以下链接,提交表单,并通过多步骤的过程加强。这个过程将填充代理的历史和目标站点地图与所有请求的内容,通过被动蜘蛛将添加到站点地图,可以从应用程序的响应来推断任何进一步的内容(通过链接、表单等)。也可以请求任何未经请求的站点(在站点地图中以灰色显示的),并使用浏览器请求这些。
在必要是执行自动映射-您可以使用BurpSuite自动映射过程中的各种方法。可以进行自动蜘蛛爬行,要求在站点地图未经请求的站点。请务必在使用这个工具之前,检查所有的蜘蛛爬行设置。
使用内容查找功能发现,可以让您浏览或蜘蛛爬行可见的内容链接以进一步的操作。
使用BurpSuite Intruder(入侵者)通过共同文件和目录列表执行自定义的发现,循环,并确定命中。
注意,在执行任何自动操作之前,可能有必要更新的BurpSuite的配置的各个方面,诸如目标的范围和会话处理。
分析应用程序的攻击面 – 映射应用程序的过程中填入代理服务器的历史和目标站点地图与所有的BurpSuite已抓获有关应用程序的信息。这两个库中包含的功能来帮助您分析它们所包含的信息,并评估受攻击面的应用程序公开。此外,您可以使用BurpSuite的目标分析器报告的攻击面的程度和不同类型的应用程序使用的URL 。
接下来主要介绍下BurpSuite的各个功能吧。先介绍Proxy功能,因为Proxy起到一个心脏功能,所有的应用都基于Proxy的代理功能。

Burp Suite功能按钮键翻译对照

        导航栏
      

     
      Burp            BurpSuite           save state wizard            保存状态向导     
      restore state            恢复状态            Remember setting            记住设置     
      restore defaults           恢复默认            Intruder            入侵者     
      Start attack            开始攻击(爆破)            Actively scan defined insertion points            定义主动扫描插入点     
      Repeater            中继器            New tab behavior            新标签的行为     
      Automatic payload positions            自动负载位置            config predefined payload lists            配置预定义的有效载荷清单     
      Update content-length            更新内容长度            unpack gzip/deflate           解压gzip/放弃     
      Follow redirections            跟随重定向            process cookies in redirections            在重定向过程中的cookies     
      View            视图            Action            行为     

        功能项
      

     
      Target            目标            Proxy            代理     
      Spider            蜘蛛            Scanner            扫描     
      Intruder            入侵者            Repeater            中继器     
      Sequencer            定序器            Decoder            解码器     
      Comparer            比较器            Extender            扩展     
      Options            设置            Detach            分离     
      Filter            过滤器            SiteMap            网站地图     
      Scope            范围            Filter by request type           通过请求过滤     
      Intercept            拦截            response Modification           响应修改     
      match and replace           匹配和替换            ssl pass through            SSL通过     
      Miscellaneous            杂项            spider status            蜘蛛状态     
      crawler settings           履带式设置            passive spidering            被动蜘蛛     
      form submission           表单提交            application login            应用程序登录     
      spider engine            蜘蛛引擎            scan queue            扫描队列     
      live scanning            现场扫描            live active scanning           现场主动扫描     
      live passive scanning            现场被动扫描            attack insertion points           攻击插入点     
      active scanning optimization            主动扫描优化            active scanning areas           主动扫描区域     
      passive scanning areas            被动扫描区域            Payload            有效载荷     
      payload processing           有效载荷处理            select live capture request            选择现场捕获请求     
      token location within response            内响应令牌的位置            live capture options           实时捕捉选项     
      Manual load            手动加载            Analyze now            现在分析     
      Platform authentication            平台认证            Upstream proxy servers           上游代理服务器     
      Grep Extrack            提取         

 

 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/130951.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Android滑动解锁功能实现,Android_滑动解锁

    Android滑动解锁功能实现,Android_滑动解锁1.滑动解锁代码流程图:流程图图片资源:https://pan.baidu.com/s/1tkcw0tdxV78mnwHqOtcAGg提取码:2xsq2.代码:xml文件:xmlns:app=”http://schemas.android.com/apk/res-auto”xmlns:tools=”http://schemas.android.com/tools”android:layout_wi…

  • SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换…

    SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换…

    2021年10月27日
  • django_session表_cookie和session详解

    django_session表_cookie和session详解前言session:session和cookie的作用有点类似,都是为了存储用户相关的信息。不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解

  • Modelsim的安装教程

    Modelsim的安装教程提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、Modelsim安装二、激活成功教程1.拷贝Crack文件夹中的文件2.激活成功教程过程可能出现的错误前言Modelsim的安装与激活成功教程使用一、Modelsim安装打开下在之后的文件夹,直接双击exe文件进行安装。不熟悉时,可以直接使用默认路径进行安装,不进行路径上的修改。1、下载并解压好文件包,然后运行安装程序根据向导提示进行软件安装2、依提示安装软件过程中需要注意的是,会有三个弹出框提示,首先是是否创建桌面快捷方式提示

  • bigdecimal除法运算保留两位小数_bigdecimal保留两位小数显示00

    bigdecimal除法运算保留两位小数_bigdecimal保留两位小数显示00**问题:**将两个long类型的数相除后转换为BigDecimal类型并保留两位小数。思路:1.先将long转换为double类型再相除2.相除之后再转换为BigDecimal类型3.最后是设置小数位数,并设置两位小数后面的数的处置方式。代码:longnum1=5L;longnum2=20L;BigDecimalnum=BigDecimal.valueOf((double)num1/num2).setScale(2,BigDecimal.ROUND_HALF_UP);

  • vim设置(非常全面),即.vimrc文件的配置

    vim设置(非常全面),即.vimrc文件的配置1.在终端下使用vim进行编辑时,默认情况下,编辑的界面上是没有显示行号、语法高亮度显示、智能缩进等功能的。为了更好的在vim下进行工作,需要手动设置一个配置文件:.vimrc。在启动vim时,当前用户根目录下的.vimrc文件会被自动读取,该文件可以包含一些设置甚至脚本,所以,一般情况下把.vimrc文件创建在当前用户的根目录下比较方便,即创建的命令为:$vi~/.vimrc

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号