1、Burp Suite入門

1、Burp Suite入門web

Burp Suite代理工具是以攔截代理的方式,攔截全部經過代理的網絡流量,如客戶端的請求數據、服務器的返回信息。Burp Suite以中間人的方式對客戶端的請求數據、服務端的返回信息作各類處理,以達到安全測試的目的。瀏覽器

如何設置代理請自行研究。安全

1Proxy服務器

Burp Proxy的攔截功能主要由Internet選項卡中的ForwardDropInterception is on/offAction構成,它們功能以下。cookie

Forward表示將攔截的數據包或修改後的數據包發送至服務器。網絡

Drop表示丟棄當前攔截的數據包。編輯器

Interception is on表示開啓攔截功能。單擊後變成Interception is off,表示關閉攔截功能。ide

單擊Action按鈕,能夠將數據包進一步發送到SpiderScannerRepeaterIntruder等功能組件作進一步的測試,同時也包含改變數據包請求方式及其body的編碼功能。工具

打開瀏覽器,輸入須要訪問的URL並按回車鍵,這時將看到數據流量通過Burp Proxy並暫停,直到單擊Forward按鈕,纔會繼續傳輸下去。若是單擊了Drop按鈕,此次經過的數據將丟失,再也不繼續處理。測試

Burp Suite攔截的客戶端和服務器交互以後,咱們能夠在Burp Suite的消息分析選項中查看此次請求的實體內容、消息頭、請求參數等信息。Burp有四種消息類型顯示數據包:RawParamsHeadersHex

Raw主要顯示web請求的raw格式,以純文本的形式顯示數據包,包含請求地址、Http協議版本、主機頭、瀏覽器信息、Accept可接受的內容類型、字符集、編碼方式、cookie等,能夠經過手動修改這些信息,對服務器端進行滲透測試。

Params主要顯示客戶端請求的參數信息,包括GET或者POST請求的參數、cookie參數。能夠經過修改這些請求參數完成對服務器端的滲透測試。

Headers中顯示的是數據包中的頭信息,以名稱、值的形式顯示數據包。

Hex對應的是Raw中信息的二進制內容,能夠經過Hex編輯器對請求的內容進行修改,在進行00截斷時很是好用。

2Spider

Spider的蜘蛛爬行功能能夠幫助咱們瞭解系統的機構,其中Spider爬取到的內容將在Target中展現

3Decoder

Decoder的功能比較簡單,它是Burp中自帶的編碼解碼及散列轉換的工具,能對原始數據進行各類編碼格式和散列的轉換。

相關文章
相關標籤/搜索