web前端安全相關

時間 2019-11-25

標籤 web 前端安全相關欄目 HTML 简体版

原文原文鏈接

burpsuite

Burp Suite 是用於攻擊web 應用程序的集成平臺。它包含了許多工具，併爲這些工具設計了許多接口，以促進加快攻擊應用程序的過程。全部的工具都共享一個能處理並顯示HTTP 消息，持久性，認證，代理，日誌，警報的一個強大的可擴展的框架。

概述

Burp Suite 能高效率地與單個工具一塊兒工做，例如：

一箇中心站點地圖是用於彙總收集到的目標應用程序信息，並經過肯定的範圍來指導單個程序工做。

在一個工具處理HTTP 請求和響應時，它能夠選擇調用其餘任意的Burp工具。例如：

代理記錄的請求可被Intruder 用來構造一個自定義的自動攻擊的準則，也可被Repeater 用來手動攻擊，也可被Scanner 用來分析漏洞，或者被Spider(網絡爬蟲)用來自動搜索內容。應用程序能夠是「被動地」運行，而不是產生大量的自動請求。Burp Proxy 把全部經過的請求和響應解析爲鏈接和形式，同時站點地圖也相應地更新。因爲徹底的控制了每個請求，你就能夠以一種非入侵的方式來探測敏感的應用程序。

當你瀏覽網頁(這取決於定義的目標範圍)時，經過自動掃描通過代理的請求就能發現安全漏洞。

IburpExtender 是用來擴展Burp Suite 和單個工具的功能。一個工具處理的數據結果，能夠被其餘工具隨意的使用，併產生相應的結果。

工具箱

Proxy——是一個攔截HTTP/S的代理服務器，做爲一個在瀏覽器和目標應用程序之間的中間人，容許你攔截，查看，修改在兩個方向上的原始數據流。

Spider——是一個應用智能感應的網絡爬蟲，它能完整的枚舉應用程序的內容和功能。

Scanner[僅限專業版]——是一個高級的工具，執行後，它能自動地發現web 應用程序的安全漏洞。

Intruder——是一個定製的高度可配置的工具，對web應用程序進行自動化攻擊，如：枚舉標識符，收集有用的數據，以及使用fuzzing 技術探測常規漏洞。

Repeater——是一個靠手動操做來補發單獨的HTTP 請求，並分析應用程序響應的工具。

Sequencer——是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。

Decoder——是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。

Comparer——是一個實用的工具，一般是經過一些相關的請求和響應獲得兩項數據的一個可視化的「差別」。

3 使用

當Burp Suite 運行後，Burp Proxy 開起默認的8080 端口做爲本地代理接口。經過置一個web 瀏覽器使用其代理服務器，全部的網站流量能夠被攔截，查看和修改。默認狀況下，對非媒體資源的請求將被攔截並顯示(能夠經過Burp Proxy 選項裏的options 選項修改默認值)。對全部經過Burp Proxy 網站流量使用預設的方案進行分析，而後歸入到目標站點地圖中，來勾勒出一張包含訪問的應用程序的內容和功能的畫面。在Burp Suite 專業版中，默認狀況下，Burp Scanner是被動地分析全部的請求來肯定一系列的安全漏洞。

在你開始認真的工做以前，你最好爲指定工做範圍。最簡單的方法就是瀏覽訪問目標應用程序，而後找到相關主機或目錄的站點地圖，並使用上下菜單添加URL 路徑範圍。經過配置的這個中心範圍，能以任意方式控制單個Burp 工具的運行。

當你瀏覽目標應用程序時，你能夠手動編輯代理截獲的請求和響應，或者把攔截徹底關閉。在攔截關閉後，每個請求，響應和內容的歷史記錄仍能再站點地圖中積累下來。

和修改代理內截獲的消息同樣，你能夠把這些消息發送到其餘Burp 工具執行一些操做：

你能夠把請求發送到Repeater,手動微調這些對應用程序的攻擊，並從新發送屢次的單獨請求。

[專業版]你能夠把請求發送到Scanner,執行主動或被動的漏洞掃描。

你能夠把請求發送到Intruer，加載一個自定義的自動攻擊方案，進行肯定一些常規漏洞。

若是你看到一個響應，包含不可預知內容的會話令牌或其餘標識符，你能夠把它發送到Sequencer 來測試它的隨機性。

當請求或響應中包含不透明數據時，能夠把它發送到Decoder 進行智能解碼和識別一些隱藏的信息。

[專業版]你可以使用一些engagement 工具使你的工做更快更有效。

你在代理歷史記錄的項目，單個主機，站點地圖裏目錄和文件，或者請求響應上顯示可使用工具的任意地方上執行任意以上的操做。

能夠經過一箇中央日誌記錄的功能，來記錄所單個工具或整個套件發出的請求和響應。

這些工具能夠運行在一個單一的選項卡窗口或者一個被分離的單個窗口。全部的工具和套件的配置信息是可選爲經過程序持久性的加載。在Burp Suite 專業版中，你能夠保存整個組件工具的設置狀態，在下次加載過來恢復你的工具。

4 我的感覺

不知不覺使用burpsuite也有點年頭了。它在我平常進行安全評估，它已經變得日益重要。

如今已經變成我在平常滲透測試中不可缺乏的工具之一。burpsuite官方如今已經更新到1.5，與以前的一點 1.4相比。界面作了比較大的變化。並且還增長了自定義快捷鍵功能。burpsuite1.5缺點是對中文字符一如既往的亂碼。burpsuite入門的難點是：入門很難，參數複雜，可是一旦掌握它的使用方法，在平常工做中確定會如虎添翼。

pasting