burpsuit2.0 配置功能复习

时间 2020-05-30

标签 burpsuit2.0 burpsuit 配置功能复习繁體版

原文原文链接

Tagget模块web

这个功能不知道干啥用的，探索一下。api

engagement tools	参考工具
Analyze target	分析target，能够根据静态文件、动态文件、及参数维度分析
Discover content	探索内容，能够用于发现一些敏感目录、文件
Schedule task	安排任务，暂停和重置任务的
Simulate manual testing	模拟手工测试

模拟手工测试的功能没用过，看起来不错，一个host，一个Path和参数，和scanner的区别是只针对一个request作测试。服务器

Compare site maps

对比网站地图

Use advanced scope control：使用高级范围控制ide

include in scope #容许的范围工具

Exclude from scope #排除的范围测试

Proxy模块：网站

主要是看看options配置this

Intercept Client Requests	拦截客户端请求 requests
Intercept Server Responses	拦截服务器响应 response

Intruder模块：
编码

Positions（位置）：url

sniper（一个变量使用一个payload重放）、

Battering ram（多个变量使用一个payload重放）、

Pitchfork（多个变量使用多个payload重放）、

Cluster bomb（多个变量使用多个payload交叉重放）。

剩下的看看payload：

Simple List	这是最简单的有效载荷类型，并容许您配置用做有效载荷的字符串的简单列表。您可使用文本框和“添加”按钮手动向列表中添加项，也能够从剪贴板粘贴列表，或从文件加载。在采用项目列表的各类有效负载类型中，可使用“Add from list”下拉菜单添加有用有效负载的预约义列表，例如常见用户名和密码、模糊字符串等。
Runtime File	此有效载荷类型容许您在运行时配置从中读取有效载荷字符串的文件。当须要一个很是大的有效负载列表时，这是有用的，以免将整个列表存储在内存中。从文件的每一行读取一个有效载荷，所以有效载荷可能不包含换行符。
Custom Iterator	此有效载荷类型容许您配置多个项目列表，并使用列表中全部项的排列生成有效载荷。它提供了一种根据给定模板生成字符或其余项目的自定义排列的强大方法。例如，工资单应用程序可使用表单AB/12的人员编号来标识我的；您可能须要迭代全部可能的人员编号以得到全部我的的详细信息。
。。。	。。。其余参考：https://portswigger.net/burp/documentation/desktop/tools/intruder/payloads/types#simple-list

Options选项：

Pause before retry

重试前暂停的时间

Sequencer 模块： Token令××× 脆弱性验证、好比1000个猜想到 token值是多少，一直没用过。

Decoder（编码、解码）、Comparer（对比分析）、Extender（扩展模块）没啥变化。

Project options 模块：

User options

这里面有几个有用的选项，

自动备份，在1.5版本也有，很好使，避免忽然关机，啥都没了，不过项目文件会很大，试了下 2.0 要在启动的时候，配置项目名称后，才可使用这个功能。

web api 接口，能够添加token或修改访问公布访问，和经过界面 New scan差很少。

默认使用1337端口，里面有演示，后台提交后，自动在仪表盘里面就会有了，也能够配置回调参数获取返回结果。