鐵器 · Burp Suite

Burp Suite 是用於攻擊web 應用程序的集成平臺。它包含了許多工具，併爲這些工具設計了許多接口，以促進加快攻擊應用程序的過程。全部的工具都共享一個能處理並顯示HTTP 消息，持久性，認證，代理，日誌，警報的一個強大的可擴展的框架。

CookBook

• Burp Suite使用介紹（一）
• Burp Suite使用介紹（二）

實例

• 爆破：
• 社交網絡對阿里安全帶來的安全威脅（可涉及到內網、淘寶、招聘等）#1
• 中國電信手機端某接口可獲全國電信人民身份信息
• 7天連鎖酒店動態口令卡服務泄漏API接口（可無限次窮舉密碼）
• 改包：
• 藝龍旅行網團購邏輯存在支付漏洞可免費訂房
• 海爾一處隱蔽的命令執行
• 中國電信西部信息中心雲計算服務任意文件上傳致使getshell
• App 抓包：中糧我買網APP越權操做缺陷04（刪除/修改任意用戶信息）

常見問題

• 問：爲何打開 burp 後抓取不到瀏覽器的數據？
• 答：沒有設置瀏覽器的代理地址，burp 自己是不會自動去設置的。
• IE：Internet 選項 -> 鏈接 -> 局域網設置 -> 代理服務器->「127.0.0.1:8080」
  
  
• Chrome：經過設置了 IE 的代理選項對 Chrome 也有效，若是使用了「Proxy SwitchySharp」那麼 IE 的設置將對 Chrome 無效，咱們須要在擴展裏創建一個規則：
• Firefox：選項 -> 高級 -> 鏈接 -> 設置 -> 手動代理配置 -> 「127.0.0.1：8080」。
  
  
• 問：如何使用 Burp 測試手機裏的 App？
• 答：小談移動APP安全

• 問：界面上中文出現亂碼怎麼解決？
• 答：
• 若是是中文亂碼的話，解決方法：options->display->font 調成微軟雅黑等中文字體就能夠。
• linux下中文亂碼，沒有微軟xx字體，下載文泉驛字體，便可解決。

Download：Burp_Suite_1.6.rar

———————————————

發自知乎專欄「烏雲君」