顧翔老師做品《軟件測試技術實戰 設計、工具及管理》html
京東購書地址:https://item.jd.com/12082665.html瀏覽器
微信購書地址:安全
http://detail.youzan.com/show/goods?alias=3erp1xpd7hmoh&from=wsc&kdtfrom=wsc&sf=wx_sm服務器
店鋪二維碼:微信
來源:測試窩app
做/譯者:抓包HTTP 工具
BurpSuite主要是用在Web安全測試的一款工具,而且在Web安全測試方面,BurpSuite這款工具很是強大,功能不少,用來抓包在合適不過.測試
本文主要分兩章,第一張介紹BurpSuite界面,抓包,修改請求,修改返回,攔截,請求重發,第二章介紹如何抓取HTTPS字體
BurpSuite官網ui
官網提供2種運行平臺,一種是exe安裝方式,另外一種是jar方式,推薦jar方式,只須要有Java的JRE環境便可運行,方便更新
收費版和社區版只是功能上有區別,對於本文即將介紹的功能使用社區版便可
0.前奏
BurpSuit 1.7.30 Community Edition
Windows 10
CHrome 65
1.界面以及設置
雙擊運行之後彈出項目界面,點擊NEXT下一步.
項目
而後彈出用戶配置界面,點擊Start Burp下一步.
用戶配置
BurpSuite的主界面
主界面
點擊User options選項卡而後
點擊Display找到
HTTP Message Display設置成支持中文的字體,
Character Set選擇User a specific character set
設置成UTF-8,設置完成後對於中文字符的顯示不會亂碼
字符設置
在Display旁邊找到Misc
並在Proxy Interception裏選擇Always disable默認關閉攔截器,設置完成後 關閉BurpSuite而後從新打開
攔截設置
2.抓包
點擊Proxy找到Options查看代理設置,確保Running是√ ,默認是啓動狀態,若是不是可能存在端口衝突,關閉衝突軟件或選中配置後點擊Edit進行修改端口,設置瀏覽器代理地址
代理設置
點擊HTTP History查看HTTP代理歷史
選中任意一條記錄右鍵能夠對其進行其餘操做
代理歷史
3.修改請求
修改客戶端發送到服務器的請求數據
修改請求以前先來配置一下攔截規則,在Proxy下的Options裏面找到Intercept Client Requests 而後選擇一條,點擊Edit修改爲入下配置,攔截全部請求
確保 Intercept requests based on the following rules前面有√,規則生效
攔截請求
在Proxy下的Intercept 查看 Intercept is按鈕是否顯示爲on,若是不是點一下按鈕(根據最上面的配置默認是off)
打開攔截器
我這裏使用POSTMAN發送了一個請求,而後Proxy Intercept都有高亮顯示,此時這個請求正在被攔截而後修改請求主體內容,點擊Forward放行請求
Forward是放行,經過請求
Drop 是丟棄請求,這條請求服務器不會收到
Action是對這條請求進行其餘操做(和HTTP history中對請求右鍵可進行的操做相似)
修改請求
回到Proxy下的HTTP history選擇修改的請求能夠查看Original request和Edited request原生請求和修改後的請求
修改記錄
4.修改響應
修改服務器發送到客戶端的響應數據
在Proxy下的Options 關閉Intercept Client Requests的規則而後修改Intercept Server Responses以下圖
修改響應規則
使用POSTMAN發送請求之後,攔截器攔截響應
修改完成後一樣點擊Forward放行
修改響應數據
在HTTP history能夠看到原生響應數據和修改後的響應數據
顧翔凡言:
讀書就像旅遊,精讀就像自由行、泛讀就像跟團遊。精讀爲了專業掌握某個技能;泛讀爲了擴大本身的知識廣度;跟團遊爲了增長本身的旅遊範圍;自由行爲了深刻了解當地文化。測試也如此,對於同一產品普遍的廣度測試與某個模塊的深度測試全是不可缺乏。根據帕託累斯原理,80%的Bug分佈在20%的模快,因此爲了有效的節省測試時間,咱們須要進行廣度測試,找到20%缺陷密集模塊,而後進行深度測試。
本文分享自微信公衆號 - 軟件測試培訓(iTestTrain)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。