Burp Suite 基础知识（一）

  
前言

你们好，我是小白，下面开始个人表演，如下内容若有雷同纯属巧合，靴靴。  （鞠躬

学到什么就写什么，可能有点乱哈。

Burp Suite 是一款用于攻击 web 应用程序的集成平台，包含了许多工具，设置了不一样的模块和接口，且模块功能之间是互通关联的。

安装运行

Burp Suite 使用 Java 开发的，运行时须要依赖于 Java 运行环境，所以须要安装 jdk 。

Burp Suite 肥宅快乐版：https://pan.baidu.com/s/1muN8BuDMfkDE97kPG-kHCg   提取码：yyry 

下载后直接安装使用，妈妈不再用担忧个人学习，so easy~

jdk 安装环境就傻瓜式操做，配置一下环境变量，在系统变量 path 中加上 jdk 的 bin 目录路径。

最后，设置代理服务器，如下是 Google 浏览器代理设置步骤：

打开浏览器设置---->高级设置------>打开代理设置。

 

应用场景

（如下几行文字源自B视频）

1.HTTP服务端接口测试

2.HTTP客户端和HTTP服务端通讯测试

3.cookie统计分析

4.HTTP服务器web安全扫描

5.web经常使用编码和解码

6.web页面爬取

7.字符串随机性简单分析

8.文件差别对比分析

 

使用教程

默认状况下，burp suite 只会拦截请求的消息，若是想要拦截其余类型，能够手动设置。

勾选如下拦截选项进行修改。

啊对了，建议从新调整下字体，由于是用英文开发，因此中文字体显示时可能会出现乱码。

如下选项修改字体大小和字体样式。

 

Burp Suite 模块介绍

Target（目标）

site map（站点地图）

左侧会显示全部经过服务器代理的url，右侧显示所访问url的详尽信息。

 

 

Target Scope 

勾选使用高级范围控制 （大概是这么翻译的叭=.=）

包含两部分功能：包括范围、去除范围。

 

 

proxy（代理）

简单画了下 proxy 的做用：

Intercept（截断）

默认状况下显示为“intercept is on”，处于拦截功能状态，在浏览器输入URL并回车，通过burp的数据流量将会被拦截不发送，点击“forward”传输本次数据，“drop”丢弃本次数据。

 

Raw

显示web请求的raw格式，而且能够手工修改其中的信息。

 

HTTP history 截取数据流量的历史记录。

options 可选项配置。

 

Intruder

能够在原始请求的基础上，修改各类请求参数。

使用步骤：

1.完成浏览器的代理设置。

2.在proxy下关闭拦截功能。

3.HTTP history中找到存在问题的请求URL，右击选择发送到intruder。

4.清除自动默认选择的猜想或破解信息的位置。（也能够手工选择、添加位置）

 

position下选择攻击类型

payload

 

最后回到position页面，点击stack attack ，发起攻击。

Scan

略。。好吧，个人肥仔快乐版里没有这个模块，肥仔失去快乐。