BurpSuite學習第八節--Comparer+Extender

時間 2020-06-08

標籤 burpsuite 學習八節 comparer+extender comparer extender 简体版

原文原文鏈接

一.Comparer的介紹

Burp Comparer是一個簡單的工具，用於在任意兩項數據之間進行比較（視覺「差別」）

常見用途以下：

將數據加載到Comparer中的方式：

進行比較

每一個加載數據項都顯示在兩個相同的列表中。要執行比較，請從每一個列表中選擇一個不一樣的項目，而後點擊"comparer"按鈕

字比較 - 此比較基於空白分隔符標記每一個數據項，並標識將第一個項轉換爲第二個項所需的令牌級編輯。當在單詞級別存在比較項目之間的有趣差別時，例如在包含不一樣內容的HTML文檔中，它是最有用的。
字節比較 - 此比較標識將第一個項目轉換爲第二個項目所需的字節級編輯。當比較項之間存在有趣的差別存在於字節級時，例如在特定參數或cookie值中包含微妙不一樣值的HTTP請求中，它是最有用的

注意：字節級比較的計算密集程度要高得多，而且一般只有在單詞級別比較沒法以信息方式識別相關差別時才應使用此選項。

當您開始比較時，會出現一個新窗口，顯示比較結果。窗口的標題欄指示兩個項目之間的差別總數（即編輯）。兩個主要面板顯示顏色化的比較項目，以指示將第一個項目轉換爲第二個項目所需的每一個修改，刪除和添加。

您能夠以文本或十六進制形式查看每一個項目。選擇「同步視圖」選項將使您可以同時滾動兩個面板，以便在大多數狀況下快速識別有趣的編輯

Burp Extender容許您使用Burp擴展，使用您本身的或第三方代碼擴展Burp的功能。您能夠加載和管理擴展，查看已安裝擴展的詳細信息，從BApp Store安裝擴展，查看當前的Burp Extender API以及配置擴展處理方式的選項。

Burp擴展能夠經過多種方式自定義Burp的行爲，例如修改HTTP請求和響應，自定義UI，添加自定義掃描程序檢查以及訪問關鍵運行時信息，包括代理歷史記錄，目標站點地圖和掃描程序問題

以個人爲例：添加CSRF和Sqlmap兩個模快

Module1：Extensionsjava

詳細信息選項卡顯示如下信息：

輸出選項卡包含擴展輸出流的詳細信息：

Module2：BApp商店

BApp商店包含由Burp Suite用戶編寫的Burp擴展，以擴展Burp的功能

Module3 ：APIS

此選項卡包含可用於建立Burp擴展的API的詳細信息。該清單顯示了正在運行的Burp版本中可用的API。從列表中選擇接口的名稱以完整顯示接口代碼

Module4：Options

包含擴展設置，Java環境，Python環境和Ruby環境的選項

Python環境：要使用python擴展，須要下載Jython，它是一個用Java實現的Python解釋器。可使用如下選項

Jython獨立JAR文件的位置 - 這是您下載Jython的位置。您必須下載獨立版本的Jython。
用於加載模塊的文件夾 - 此設置是可選的，可用於指定Python解釋器應嘗試從中加載擴展所需模塊的文件夾。若是已配置，則此選項會致使Burp 使用指定的位置更新Python sys.path變量。若是您已建立本身的一組Python庫以用於多個單獨的擴展，則使用此選項頗有用

注意：

因爲Jython動態生成Java類的方式，若是加載多個不一樣的Python擴展，或者屢次卸載和從新加載Python擴展，則可能會遇到內存問題。若是發生這種狀況，您將看到以下錯誤：

java.lang.OutOfMemoryError：PermGen空間

您能夠經過將Java配置爲分配更多PermGen存儲來避免此問題，方法是在啓動Burp時向命令行添加-XX：MaxPermSize選項。例如：

java -XX：MaxPermSize = 1G -jar burp.jar