Burpsuite軟件介紹
Burpsuite是來自過來的一款功能強大的滲透測試工具。它是一個用于攻擊web 應用程序的集成平臺,包含了許多工具,如Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer等工具模塊,并為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP 消息,持久性,認證,代理,日志,警報的一個強大的可擴展的框架。通過攔截HTTP/HTTPS的web數據包,充當瀏覽器和相關應用程序的中間人,進行攔截、修改、重放數據包進行測試,非常適合信息安全從業人員使用。
Burp Suite是一款信息安全從業人員必備的集 成型的滲透測試工具,它采用自動測試和半自動測試的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模塊。通 過攔截HTTP/HTTPS的web數據包,充當瀏覽器和相關應用程序的中間人,進行攔截、修改、重放數據包進行測試,是web安全人員的一把必備的瑞士軍刀。
Burpsuite軟件功能
Burp Suite提供優秀的分析功能,可以在軟件找到分析錯誤的工具
如果你的軟件遇到錯誤,就需要分析錯誤的原因
如果你的網站程出現漏洞,就需要在軟件分析漏洞問題
使用這款Burp Suite軟件就可以分析你的漏洞
將錯誤的原因顯示在軟件,從而讓用戶可以找到當前web存在的漏洞
支持更多的工具幫助你掃描web,可以立即分析所有問題
Burpsuite軟件特色
1、Burp Suite是專業的漏洞分析軟件,可以檢測你網站出現的漏洞
2、適合維護人員使用,可以對你的計算機系統安全維護
3、支持重復掃描功能,對當前的系統內容重新檢測
4、支持更多擴展的內容,近十款工具維護你的系統
5、支持手動選擇分析的內容,可以添加分析模塊
6、支持常見的漏洞分析,可以檢測一百多個漏洞
7、Burp Suite企業版可以在特定時間執行計劃掃描,或按需執行一次性掃描。
8、可以將重復掃描配置為無限期運行或直到定義的終點。
9、可以在一個位置查看給定網站的整個掃描歷史記錄。
Burpsuite安裝步驟
1. 在華軍軟件園下載Burpsuite,然后解壓,點擊打開注冊機:burp-loader-keygen.jar,然后點擊run,license text 隨便填,然后將生成的license 復制粘貼到打開的burp里,點擊next
2. 然后我們點擊manual activation
3. 接著我們將request 粘貼到activation request ,將自動生成response,再粘貼到burp里最下面的response中,點擊下一步
4. Burpsuite下載成功,這樣我們就可以使用了。
Burpsuite使用教程
Burp 模塊介紹
- Target
Target 作為 Burp 的第一個模塊,作用是一個站點地圖,會在左側出現所有通過代理服務器的網頁都會在此顯示。
當訪問了CSDN之后,“Target” 功能模塊已經將所有訪問記錄給爬取了下來,并顯示在左側,如圖所示。
當然,如果想使用 Burp 進行測試,首先要修改一下本機瀏覽器的代理。
下面以火狐為例來講解 Burp 的基本配置
首先需要在火狐的設置里,找到代理設置,設置為和 Burp 軟件一樣的 IP,即可。
需要注意的就是端口號需要和這上面設置的端口號一致,都是 8080
Proxy
在 Burp 里,“Proxy” 模塊是一個至關重要的模塊,他的布局是這樣的。
Proxy 模塊里面的 intercept 模塊的作用是截斷 HTTP/HTTPS 之間的請求流量,如果第三個按鈕 “intercept is off”,這里是未開啟攔截的意識,如果開啟了則會變為 “intercept is on”
現在我們攔截下 CSDN 登陸頁面的 HTTPS 流量。
在我輸入了賬號密碼之后,點擊了開啟攔截,狀態變為 “intercept is on”,此時,通過這個 HTTPS 請求下來的流量都會被攔截不發送并且顯示在你的 “intercept” 模塊下,如圖所示。
去掉多余的參數,在 POST 登陸的實際請求只有這一句
&username=rNma0y&password=147258369&rememberMe=true<=LT-1269028-Xs5rYscId3GAlIBVB6NgisRx6zJCo5&execution=e2s1&_eventId=submit
當攔截開啟的時候,整個網頁他是無法請求的,因為發送的所有請求都被攔截下來了,如果你想訪問下個網頁,選擇模塊里的第一個按鈕 “Forward”,這個按鈕意味著放行,令他通過請求,發送此數據包。
Drop
Drop 則是丟掉這個包,重新抓取數據。
Action
Action 的功能如下,可以把請求發送到各個模塊進行交互。
HTTP history
這個模塊的功能則是這個就是截取包的歷史記錄,把先前截取的數據包歷史停留在這里。
Scan
Scan 這個功能模塊的作用則是掃描,一個 Web 應用程序的掃描器,是 Pro 版獨有的,社區版則不帶有此功能。
使用方法是在抓包后右鍵菜單,出現 “Do a active scan”,點擊后則會發送到 Burp 的 Scan 模塊下,最重要的指示則是會高亮黃色。
Intruder
Intruder 模塊則是整個 Burp 工具里最有用的一塊,在暴力破解這方面經常會上手,可以通過增加一個字典來實現自動化的攻擊。
在 Intruder 模塊下的 Position 下可以對 HTTP 請求進行操作,可以把 HTTP 請求里的某個單獨的參數設置為變量,來進行替換,比如上圖所示,標黃的部分即為變量參數。
Attack type
Attack type 里的參數有四種,分別是如下圖所示:
Sniper
Sniper,就是將你添加的字典里的數值一次賦給我們的多個參數去組合嘗試,比如我們設置了有三個參數,分別是 a,b,c,字典里面有五個值(1,2,3,4,5),那么該模式下 Burp 會把 a 去替換成字典里的數值,b、c 保持原值,然后 b 去替換字典里的數值,a、c 保持原值,c 則以此類推。
Battering ram
Battering ram,則是同時將 abc 賦值都用添加的字典去替換嘗試。
Pitchfork
Pitchfork 則是需要用戶導入三個字典,后依次替換變量。
Cluster bomb
Cluster bomb 也需要用戶導入三個字典,但是他會把每個字典里的數值都去給變量測試替換一遍,比如 a 變量,字典一測試了字典二和三也會跟上去替換。
Payload
Payload,作用是導入字典的作用:
Simple list
在這個模塊下的 Simple list 定義則是最基礎的,適合小量數據。
Brute forcer
Brute forcer 則是單純的暴力破解,選擇這個模塊后他會嘗試字典的所有內容。
Options
Options 是 Intruder 最后一個模塊,他的功能是線程等功能的設置。
Number of chreads,線程量。
Number of retries on network failure ,則是網絡故障的重試次數,三次則是重試三次連接。
Pause before retry,重試失敗的請求時,Burp 將在重試之前等待失敗后的指定時間(以毫秒為單位)。如果服務器被流量淹沒,或發生間歇性問題,最好在重試之前等待一段時間,默認值為 2000 毫秒。
Repeater
Repeater 即網頁請求頭,一般使用這個功能也是通過 Proxy 抓包然后 Send 發送過來的。
主要就是修改請求的各項參數等等然后點擊左上角的 go 發送出去,然后在右邊接受到請求,同時在右側顯示請求和狀態,多作用于的 HTTP 請求的模糊測試。
Decoder
Decoder 模塊是一個方便的編碼器,故此不再多敘述。
Comparer
Comparer 模塊是一個文件比較的功能,也非常簡單,請讀者自行了解。
Burpsuite主要優勢
Burp Scanner包括一個完整的JavaScript分析引擎,它結合使用靜態(SAST)和動態(DAST)技術來檢測客戶端JavaScript中的安全漏洞,例如基于DOM的跨站點腳本。
Burp使用高度創新的帶外技術(OAST)來增強傳統的掃描模型。 Burp Collaborator技術允許Burp檢測服務器端漏洞,這些漏洞在應用程序的外部行為中完全不可見,甚至可以報告掃描完成后異步觸發的漏洞。
Burp的掃描邏輯不斷通過增強功能進行更新,以確保它能夠找到最新的漏洞和現有漏洞的新邊緣案例。 近年來,Burp一直是第一臺檢測Burp研究團隊開創的新漏洞的掃描儀,包括模板注入和網絡緩存中毒。持續更新
所有報告的漏洞都包含詳細的自定義建議。 其中包括問題的完整描述以及逐步修復建議。 為每個單獨的問題動態生成咨詢措辭,并準確描述任何特殊功能或補救點。
Burpsuite更新日志
將bug掃地出門進行到底
優化用戶反饋的問題,提升細節體驗
特別說明:
您好,您即將使用的軟件為輔助類工具,可能會被各大殺毒軟件進行攔截和查殺,該軟件可能存在使用風險,請注意規避,如果您想繼續使用建議關閉各種殺毒軟件后使用。
附軟件包解壓密碼:www.gf-sling.com
華軍小編推薦:
Burpsuite一直以來都是大多數網民最常用的軟件,華軍軟件園還有網絡流量統計工具、網絡攝像機搜索工具、FPort、FreePortScanner、MRTG等同樣是網民非常喜愛的軟件,大家可以來華軍軟件園下載!
您的評論需要經過審核才能顯示
有用
有用
有用