Burp Suite 基礎知識（一）

  
前言

你們好，我是小白，下面開始個人表演，如下內容若有雷同純屬巧合，靴靴。  （鞠躬

學到什麼就寫什麼，可能有點亂哈。

Burp Suite 是一款用於攻擊 web 應用程序的集成平臺，包含了許多工具，設置了不一樣的模塊和接口，且模塊功能之間是互通關聯的。

安裝運行

Burp Suite 使用 Java 開發的，運行時須要依賴於 Java 運行環境，所以須要安裝 jdk 。

Burp Suite 肥宅快樂版：https://pan.baidu.com/s/1muN8BuDMfkDE97kPG-kHCg   提取碼：yyry 

下載後直接安裝使用，媽媽不再用擔憂個人學習，so easy~

jdk 安裝環境就傻瓜式操做，配置一下環境變量，在系統變量 path 中加上 jdk 的 bin 目錄路徑。

最後，設置代理服務器，如下是 Google 瀏覽器代理設置步驟：

打開瀏覽器設置---->高級設置------>打開代理設置。

 

應用場景

（如下幾行文字源自B視頻）

1.HTTP服務端接口測試

2.HTTP客戶端和HTTP服務端通訊測試

3.cookie統計分析

4.HTTP服務器web安全掃描

5.web經常使用編碼和解碼

6.web頁面爬取

7.字符串隨機性簡單分析

8.文件差別對比分析

 

使用教程

默認狀況下，burp suite 只會攔截請求的消息，若是想要攔截其餘類型，能夠手動設置。

勾選如下攔截選項進行修改。

啊對了，建議從新調整下字體，由於是用英文開發，因此中文字體顯示時可能會出現亂碼。

如下選項修改字體大小和字體樣式。

 

Burp Suite 模塊介紹

Target（目標）

site map（站點地圖）

左側會顯示全部經過服務器代理的url，右側顯示所訪問url的詳盡信息。

 

 

Target Scope 

勾選使用高級範圍控制 （大概是這麼翻譯的叭=.=）

包含兩部分功能：包括範圍、去除範圍。

 

 

proxy（代理）

簡單畫了下 proxy 的做用：

Intercept（截斷）

默認狀況下顯示爲「intercept is on」，處於攔截功能狀態，在瀏覽器輸入URL並回車，通過burp的數據流量將會被攔截不發送，點擊「forward」傳輸本次數據，「drop」丟棄本次數據。

 

Raw

顯示web請求的raw格式，而且能夠手工修改其中的信息。

 

HTTP history 截取數據流量的歷史記錄。

options 可選項配置。

 

Intruder

能夠在原始請求的基礎上，修改各類請求參數。

使用步驟：

1.完成瀏覽器的代理設置。

2.在proxy下關閉攔截功能。

3.HTTP history中找到存在問題的請求URL，右擊選擇發送到intruder。

4.清除自動默認選擇的猜想或破解信息的位置。（也能夠手工選擇、添加位置）

 

position下選擇攻擊類型

payload

 

最後回到position頁面，點擊stack attack ，發起攻擊。

Scan

略。。好吧，個人肥仔快樂版裏沒有這個模塊，肥仔失去快樂。