文章目錄
一,安裝Burp Suite
Burp Suite是一款集成化的滲透測試工具。
- 可以高效的完成對web應用程序的滲透測試和攻擊。
- Burp Suite由java語言編寫
- 攔截所有通過代理的網絡流量,如客戶端的請求數據,服務端的返回信息等。Burp Suite主要攔截HTTP和HTTPS協議(需要在客戶端添加CA證書)的流量,通過攔截,Burp Suite以中間人的身份對客戶端的請求數據,服務端的返回數據做處理。
- Burp Suite可執行程序是java文件類型的jar文件,運行時依賴JRE。
JDK (java development kit java開發工具包):包含了JRE,同時還包含了編譯java源碼的編譯器javac,還包含了很多java程序調試和分析的工具:jconsole,jvisualvm等工具軟件,還包含了java程序編寫所需的文檔和demo例子程序。
Oracle公司的JDK下載地址
1.安裝JDK後
測試是否安裝成功
2. 配置環境變量
計算機 -->屬性 --> 高級環境設置 --> 環境變量 --> 新建系統變量 -->變量值爲JDK的安裝路徑
①
-
②
測試:在cmd中輸入javac是否返回幫助信息
二,Burp Suite使用說明
1. Proxy(代理)模塊
還需在瀏覽器上設置代理
2. 在設置代理的瀏覽器和Brup Proxy上設置證書使可以攔截https數據包
在burp suite導入證書
proxy --> options -->導入證書
在瀏覽器中導入證書並設置信任
Proxy模塊的攔截功能(Intercept)選項說明
● Forward:將攔截的數據包或修改後的數據包發送至服務器端.
●Drop:表示丟棄當前攔截的數據包
●Interception is on:是否攔截服務器發送的包。
●Action按鈕:可以將數據包進一步發送到 Spider、 Scanner、Repeater、intruder等功能組件做進一步的調整,同時也包含改變數據包請求方式及其body的編碼等功能
攔截的數據包有四種顯示形式
- Raw:主要顯示Web請求的raw格式,以純文本的形式顯示數據包,包含請求地址、HTTP協議版本、主機頭、瀏覽器信息、Accept可接受的內容類型、字符集、編碼方式、 cookie等,可以通過手動修改這些信息,對服務器端進行滲透測試
- Params:主要顯示客戶端請求的參數信息,包括GET或者POST請求的參數cookie參數.可以通過修改這些請求參數完成對服務器端的滲透測試.
- Headers:中顯示的是數據包中的頭信息,以名稱、值的形式顯示數據包.
- Hex:對應的是Raw中信息的二進制內容,可以通過Hex編輯器對請求的內容進行修改,在進行00截斷時非常好用,