BurpSuite基础教程第一发:burpsuite基本介绍及环境配置

论坛转悠突然发现的教程,因为写的太好了,所以转过来让更多人看到。
尊重原作者!原帖请查看:点击查看


一、BurpSuite简介

Burp Suite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。
burpsuite结合先进的手工技术与先进的自动化,使你的工作更快,更有效,更有趣。
在安全人员常用工具表(http://sectools.org/)中,burpsuite排在第13位,且排名在不断上升,由此可见它在安全人员手中的重要性。
burpsuite的模块几乎包含整个安全测试过程,从最初对目标程序的信息采集,到漏洞扫描及其利用,多模块间高融合的配合,使得安全测试的过程更加高效。

1.1 主要模块:

    1. Target(目标)——显示目标目录结构的的一个功能
    1. Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
    1. Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
    1. Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。
    1. Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
    1. Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
    1. Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
    1. Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
    1. Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
    1. Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的
    1. Options(设置)——对Burp Suite的一些
    1. Alerts(警告)——Burp Suite在运行过程中发生的一写错误

二、浏览器代理的设置

什么叫浏览器代理?

提供代理服务的电脑系统或其它类型的网络终端称为代理服务器(英文:Proxy Server)。一个完整的代理请求过程为:客户端首先与代理服务器创建连接,接着根据代理服务器所使用的代理协议,请求对目标服务器创建连接、或者获得目标服务器的指定资源。而所谓的浏览器代理就是给浏览器指定一个代理服务器,浏览器的所有请求都会经过这个代理服务器。
如何设置浏览器代理?

2.1 IE浏览器的代理设置

这里以Internet Explorer 11 为例,其他版本IE浏览器设置类似。

  1. 打开浏览器,在右上角工具中选择Internet选项,或者在菜单栏选择工具->Internet选项

  2. 选择连接选项卡-->局域网设置

  3. 为LAN使用代理服务器前打勾

  4. 地址输入127.0.0.1,端口输入8080

(注:在BurpSuite中默认为8080端口,其他端口请修改BurpSuite配置)


IE

2.2 谷歌浏览器的代理设置

这里以Google Chrome 54.0.2840.87 m为例,其他版本设置类似。

谷歌浏览器的设置类似于IE浏览器,在谷歌浏览器地址栏输入: chrome://settings/

打开设置,下拉找到“更改代理服务器设置”,将弹出Internet属性窗口,然后参考IE浏览器的设置方法即可。


chrome

2.3 火狐浏览器的代理设置

在火狐浏览器右上角打开菜单中选择 选项,然后依次选择高级->网络->设置->手动配置代理,然后HTTP代理设置为:127.0.0.1,端口设置为 8080

(注:在BurpSuite中默认为8080端口,其他端口请修改BurpSuite配置)


其他浏览器设置方法基本类似,不再叙述。

三、Buresuite的启动

在完成环境安装及环境变量的设置后,就可以启动burpsuite。
可以通过双击“BurpLoader.jar”直接启动或者通过CMD命令行启动。
启动后首先会看到的是burpsuite的声明窗口,与他启动方式的简单说明。


点击“I Accept” 接受该条款,进入程序主页面。


现在可以通过分析/修改代理服务器的流量从而修改用户与服务器之间的请求响应,通过修改请求/响应达到我们需要的目的。例如:前端上传绕过,抓取表单数据等。


四、插件的安装

BurpSuite给出了两种插件安装方法:

  • 第一种是在线安装:通过BApp Store安装插件;
  • 第二种是本地安装:添加本地环境中的插件。

4.1 在BApp Store中安装插件

BApp Store中包含了大部分常用的插件。

示例安装一个CSRF的扫描插件。
我们找到CSRF Scanner,点击Install,按钮状态变为Installing

安装完成后,按钮状态变为Reinstall。同时右上角多出一个新的模块。

回到Extensions模块中,此时列表中已经列出安装的插件,同时在下边显示插件的基本信息。

安装自定义插件,点击add按钮,会弹出根据插件类型选择插件的目录,这里选择一个java的sqlmap插件。

点击Next后,列表中已经有了SQLMAP的插件。

参考


在论坛转悠突然发现的教程,因为写的太好了,所以转过来让更多人看到。
尊重原作者!原帖请查看:点击查看


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容