靶机、软件搭建:05---Burp Suite工具的安装与使用（Windows环境）

靶机、软件搭建:05---Burp Suite工具的安装与使用（Windows环境）

一、Burp Suite简介

Burp Suite 是一款集成化的渗透测试工具，包含了很多功能，可以帮助我们高效地完成对Web应用程序的渗透测试和攻击特点：Burp Suite由Java语言编写，基于Java自身的跨平台性，使这款软件学习和使用起来更方便。 Burp Suite不像其他自动化测试工具，它需要​手工配置一些参数​，触发一 些​自动化流程​，然后才会开始工作Burp Suite可执行程序是Java文件类型的jar文件

免费版本与商业版本-官网：​​Download Burp Suite Community Edition - PortSwigger​​免费版可以从官网-。免费版的Burp Suite会有许多限制，无法使用很多高级工具​专业版与免费版的主要区别有以下三点：​Burp Scanner工作空间的保存和恢复拓展工具，如Target Analyzer、Content Discovery、Task Scheduler软件运行的环境依赖：Burp Suite 是用Java语言开发的，运行时依赖JRE ，需要安装Java环境（JDK）才可以运行安装java环境的步骤省略，自行安装

二、-与使用

Burp Suite破解版-百度云地址：​​百度网盘 请输入提取码​​（密码：qs65）

安装与使用步骤：

三、使用Proxy设置代理

​概念：​Burp Suite代理工具是以拦截代理的方式，拦截所有通过代理的网络流量，如客户端的请求数据、服务器端的返回信息等。Burp Suite主要拦截HTTP和HTTPS协议的流量，通过拦截， Burp Suite以中间人的方式对客户端的请求数据、服务端的返回信息做各种处理，以达到安全测试的目的

四、Proxy的使用

五、Spider的使用

Spider的蜘蛛爬行功能可以帮助我们了解系统的结构，其中Spider爬取到的内容将在​Target中展示​如下图所示，界面左侧为一个主机和目录树，选择具体某一个分支即可查看对应的请求与相应

六、Decoder的使用

​功能：​Decoder的功能比较简单，它是Burp中自带的编码解码及散列转换的工具，能对原始数据进行各种编码格式和散列的转换

七、Scanner的使用

​功能：​Burp Scanner主要用于自动检测Web系统的各种漏洞 。本文介绍Scanner的基本使用方法，在实际使用中可能会有所改变，但大体环节如下

八、Intruder的使用

​功能：​Intruder是一个定制的高度可配置的工具，可以对Web应用程序进行自动化攻击， 如通过标识符枚举用户名、ID和账户号码，模糊测试，SQL注入，跨站，目录遍历等​工作原理：​它的工作原理是Intruder在原始请求数据的基础上，通过修改各种请求参数获取不同的请求应答。在每一次请求中，Intruder通常会携带一个或多个有效攻击载荷（Payload），在不同的位置进行攻击重放，通过应答数据的比对分析获得需要的特征数据

九、Repeater的使用

​功能：​Burp Repeater是一个手动修改、补发个别HTTP请求，并分析它们的响应的工具。它最大的用途就是能和其他Burp Suite工具结合起来使用。可以将目标站点地图、Burp Proxy浏览记录、Burp Intruder 的攻击结果，发送到Repeater上，并手动调整这个请求来对漏洞的探测或攻击进行微调在渗透测试过程中，我们经常使用Repeater进行请求与响应的消息验证分析，例如修改请求参数、验证输入的漏洞；修改请求参数、验证逻辑越权；从拦截历史记录中， 捕获特征性的请求消息进行请求重放

十、Comparer的使用

​功能：​Burp Comparer在Burp Suite中主要提供一个可视化的差异比对功能，来对比分析两次数据之间的区别

十一、Sequencer的使用

​功能：​Burp Sequencer是一种用于分析数据样本随机性质量的工具。可以用它测试应用程序的会话令牌（ Session token ）、密码重置令牌是否可预测等场景，通过Sequencer的数据样本分析，能很好地降低这些关键数据被伪造的风险

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。