如果只能用一个Web渗透工具，我选BurpSuite。

Web应用程序（Web Application）

• 不同于传统的静态网站
• 所有程序的特点是接收、处理用户输入并返回结果
• 服务器端是个程序，需要程序代码实现业务功能（java、php、asp.nse）
• Web服务器（Apache、IIS）
• 数据库（oracle、mysql）
• 其他后端组件（soap、web service）
• 客户端浏览器代码

BurpSuite

Web应用安全集成测试平台

• 最高效的Web安全测试工具

• 胡同的模块化架构

• Java编写，跨平台

• 手动自动

• 文档健全

• 截断代理（最有效）

• 安装字体（Linux）ttf-wqy-microhei（这是个中文字体，如果你的Kali或者Burp都是英文的，而服务器返回的是中文的，就可能导致乱码）

• 解决安装kali 2020.1版本后的中文乱码问题：只需要安装中文字体_2020中文文字乱码视频全集-CSDN博客

• PortSwigger 公司开发

• 免费版

• 付费版

使用

• Temporary project in memory临时项目，如果用完就关闭的话，在你下次打开的时候之前的记录就都不在了
• 需要重复渗透测试的就选New project on disk

• User Option可以调整字体

HTTP message display改成中文字体，这样返回包有中文就不会乱码了

Character sets选择第一个，设置字符自动识别，可以很省事，是UTF-8就UTF-8，是Big5就Big5

截获流量

• 手机：全局代理
• CA证书：SSL流量截获
• 代理选项

启动

• Project

• Projection Option

• Configuration file

• User Option

• Target

• Site Map(比较)

• Scope

• Filter

• Web扫描器：爬网、扫漏洞

• Sipder

• 手动爬

• 自动爬

• Option

• Scanner

• Extender（http://www.jython.orq/downloads.html）

• Option

• Queue

Intruder

客户端验签

• 浏览器客户端：分析客户端脚本
• APP客户端：反编译客户端程序/探测

Java序列化

• 基于Java的富客户端程序（BurpJDSer反序列化、插件）
• https://github.com/khai-tran/BurpJDSer

Repeater

• Change request method
• Change body encoding
• Copy as curl command

Sequencer

• 分析随机数据的可预测性
• Session cookies
• anti-CSRF tokens
• Start live capture
• FIPS——美国联邦信息处理标准（Federal Information Processing Standard）

Kali里面有很多自带的字典：

Decoder

• smart decode

Collaborator

• 对于无法直接发现的漏洞，通过payload出发 W 与 C 服务器交互
• param=http://rd8bxznao38t15fs234q5vt4ivomcc01.oastify.com
• W DNS解析、HTTP请求发给 C
• 基于密钥的身份识别
• 官方 C、自建C、不用C
• 安全问题：C 短时间在内存中保存数据
• 项目选项->Misc->Burp Collaborator Server

Infiltrator

• 部署在服务器端，注入hook指令，发现存在风险的API调用
• 不可逆的修改服务器端字节码文件
• 会造成性能、稳定性、通信质量、信息泄露等问题（测试环境）
• 仅支持Java（1.4-1.8）、.NET语言环境
• 从Burp导出安装包
• 与Collaborator结合使用

Clickbandit

• 检测点击解除漏洞的客户端脚本
• 不支持微软 IE、Edge浏览器
• Web Developer -> Console