Burpsuite入门及使用详细教程

目录
  • 1、简介
  • 2、标签
  • 3、操作

1、简介

Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

2、标签

  1. Target(目标)——显示目标目录结构的的一个功能
  2. Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
  3. Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
  4. Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。
  5. Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
  6. Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
  7. Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
  8. Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
  9. Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
  10. Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
  11. Options(设置)——对Burp Suite的一些设置。

3、操作

捕获HTTP数据包:

以firefox火狐浏览器为例:点击选项——高级——网络——设置——选择手动配置代理,HTTP代理输入:127.0.0.1端口:8080

打开burpsuite,点击proxy——Options勾选127.0.0.1:8080。在Intercept点击后显示Intercept on,启动。

在firefox浏览器输入访问的真实地址,列如在网址输入10.1.1.174/login.php,username输入test,password也输入test。

点击Login,页面卡住了,下面burpsuite闪框提示有新的数据传入,打开看抓包信息。

可修改里面的内容。

爬虫:

在Target可以看到网站的目录结构。

可以选择只显示有回显的数据或网站,勾上下面红框框住的选项就可以了。如果只选择当前需要的一个网站,勾选Show only in-scope items。

右键点击选择Spider this host(爬虫到该主机),并点击YES。

可以看到加载进了下列展示的标签。

如果不填写任何表单,可在Spide——options,勾选如下设置。

在下面页面可以看到一共爬取了2万多比特。

爬完之后可以看到爬取的目录。

扫描漏洞:

双击para,会选中有参数的记录。右键点击Actively scan selected items选项。

就会自动过滤重复的页面或数据,然后点next——点ok。

再Scanner——Scan queue就可以看到扫描的情况。

再Scanner下的Issue defintion可以定义扫什么样的漏洞。

导出数据包:

在User option选择导出的数据包导出。

到此这篇关于Burpsuite入门及使用详细教程的文章就介绍到这了,更多相关Burpsuite使用教程内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • 详解BurpSuite安装和配置

    详解BurpSuite安装和配置

    目录 Burp Suite是什么 Burp Suite如何安装 1.配置Java环境 2.安装Burp Suite 破解版下载地址传送门 设置Http代理 拦截请求 Burp Suite是什么 Burp Suite 是用于攻击web 应用程序的集成平台.它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击. 它主要用来做安全性渗透测试,可以实现拦截请求.Burp Spider爬虫.漏洞扫描(付费)等类似Fiddl

  • Burpsuite模块之Burpsuite Intruder模块详解

    Burpsuite模块之Burpsuite Intruder模块详解

    目录 一.简介 二.模块说明 Burp Suite Intruder的4种攻击类型 一 Sniper(狙击手模式) 二Battering ram(攻城锤模式) 三Pitchfork(草叉模式) 四Cluster bomb(集束炸弹模式) 介绍:仅供技术交流学习探讨,请勿用于非法用途,.本文部分资源来源于网络,如有侵权请联系版主删除. 一.简介 Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化

  • VMware、nmap、burpsuite的安装使用教程

    VMware、nmap、burpsuite的安装使用教程

    目录 VMware BurpSuite 一.虚拟机镜像和VMware安装和使用 二.nmap安装和在虚拟机中使用 1.nmap包含四项基本功能: 2.nmap 命令 用法: 3.nmap的常用选项: 4.nmap的常用扫描类型 5.输出格式 三.java环境配置和burpsuite安装使用 三.CTF做题练习 1.看源码 2. 抓包 3.利用nmap渗透扫描 VMware BurpSuite VMware,BurpSuite破解版下载地址: http://xiazai.jb51.net/2021

  • Burpsuite入门及使用详细教程

    Burpsuite入门及使用详细教程

    目录 1.简介 2.标签 3.操作 1.简介 Burp Suite是用于攻击web应用程序的集成平台.它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程.所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架. 2.标签 Target(目标)--显示目标目录结构的的一个功能 Proxy(代理)--拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流. Spid

  • spring+springmvc+mybatis+maven入门实战(超详细教程)

    入门篇 本篇文章涉及到的技术有spring.springmvc.mybatis.mysql.xml.maven.jsp.javase.javaweb.eclipse 下面开始本篇文章的教程 一.新建maven项目 一般通过这种方法新建maven项目 假如你的eclipse不能通过上面的方法新建maven项目,也可以通过下面的方法新建maven项目 看到下面的项目结构,说明你已经成功创建了一个maven项目.但是这个项目报错,根据标准的web项目结构来说,目前这个项目缺少了web.xml 利用ec

  • NodeJS中的MongoDB快速入门详细教程

    MongoDB 是一个基于分布式文件存储的数据库.由 C++ 语言编写.旨在为 WEB 应用提供可扩展的高性能数据存储解决方案. MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的. 一.MongoDB必须理解的概念 1.数据库:每个数据库都有自己的权限和集合. 2.文档:一个键值对. 3.集合:一组文档,即一组键值对.当第一个文档插入时,集合就会被创建. 二.Mac下的MongoDB安装和启动 1.使用brew进行安装:brew ins

  • Hadoop集成Spring的使用详细教程(快速入门大数据)

    Hadoop集成Spring的使用详细教程(快速入门大数据)

    官网sprng-hadoop https://spring.io/projects/spring-hadoop 添加依赖 <dependencies> <dependency> <groupId>org.springframework.data</groupId> <artifactId>spring-data-hadoop</artifactId> <version>2.5.0.RELEASE</version&g

  • Java 代码检查工具之PMD入门使用详细教程

    Java 代码检查工具之PMD入门使用详细教程

    介绍 PMD是一个静态源代码分析器.它发现了常见的编程缺陷,如未使用的变量.空捕获块.不必要的对象创建等等. 官网:点这里 官方文档:点这里 使用方式 1.使用插件的方式 下载:File -> Settings -> Plugins -> Marketplace 搜索 "PMDPlugin" ,下载插件. 使用方法:在代码编辑框或Project 窗口的文件夹.包.文件右键,选择"Run PMD"->"Pre Defined"

  • react hooks入门详细教程

    State Hooks 案例: import { useState } from 'react'; function Example() { const [count, setCount] = useState(0); //count:声明的变量:setCount:改变count值的函数:0:count的初始值 return ( <div> <p>You clicked {count} times</p> <button onClick={() => set

  • C/C++ 开发神器CLion使用入门超详细教程

    C/C++ 开发神器CLion使用入门超详细教程

    CLion是Jetbrains公司旗下新推出的一款专为开发C/C++所设计的跨平台IDE,它是以IntelliJ为基础设计的,同时还包含了许多智能功能来提高开发人员的生产力. Clion2020.2.x最新激活码破解版附安装教程(Mac Linux Windows) https://www.jb51.net/article/200548.htm 同样支持python哦,相信使用过IntelliJ idea开发过java的盆友都很清楚该IDE的强大,所以做为Jetbrains旗下的c/c++开发工

  • k3d入门指南之在Docker中运行K3s的详细教程

    k3d入门指南之在Docker中运行K3s的详细教程

    什么是k3d? k3d是一个小型程序,用于在Docker中运行K3s集群. K3s是经过CNCF认证的轻量级Kubernetes发行和沙箱项目.它是为资源有限环境设计的,被打包为单个二进制文件,所需RAM小于512MB. 要了解有关K3s的更多信息,请查看我们之前的公众号文章及B站上的视频. k3d借助从K3s仓库构建的Docker镜像在安装了Docker的任何机器上的Docker容器中启动多个K3s节点. 这样,一台物理(或虚拟)机(称为Docker Host)可以运行多个K3s集群,每个集群

  • Java持久层框架Mybatis入门详细教程

    Java持久层框架Mybatis入门详细教程

    mybatis介绍 mybatis它是轻量级持久层框架,由ibatis演化而来.它自动连接数据库,将数据库的结果集封装到对象中POJO. POJO: 一个简单的Java类,这个类没有实现/继承任何特殊的java接口或者类,不遵循任何主要java模型,约定或者框架的java对象.在理想情况下,POJO不应该有注解. JavaBean: JavaBean是可序列化的,实现了serializable接口 具有一个无参构造器 有按照命名规范的set和gett,is(可以用于访问布尔类型的属性)方法 My

  • FluentMybatis快速入门详细教程

    使用fluent mybatis可以不用写具体的xml文件,通过java api可以构造出比较复杂的业务sql语句,做到代码逻辑和sql逻辑的合一. 不再需要在Dao中组装查询或更新操作,在xml或mapper中再组装参数. 对底层数据表关联关系的处理,我们总是绕不开什么一对一,一对多,多对多这里比较烦人的关系. 业界优秀的ORM框架也都给出了自己的答案,简单来说就以下几种方式: hibernate和JPA对开发基本屏蔽了底层数据的处理,只需要在model层设置数据级联关系即可.但这种设置也往往

随机推荐