BurpSuite
创始人
2024-09-25 14:21:18
0

如果只能用一个Web渗透工具,我选BurpSuite。

Web应用程序(Web Application)

  • 不同于传统的静态网站
  • 所有程序的特点是接收、处理用户输入并返回结果
  • 服务器端是个程序,需要程序代码实现业务功能(java、php、asp.nse)
  • Web服务器(Apache、IIS)
  • 数据库(oracle、mysql)
  • 其他后端组件(soap、web service)
  • 客户端浏览器代码

BurpSuite

Web应用安全集成测试平台

  • 最高效的Web安全测试工具

  • 胡同的模块化架构

  • Java编写,跨平台

  • 手动自动

  • 文档健全

  • 截断代理(最有效)

  • 安装字体(Linux)ttf-wqy-microhei(这是个中文字体,如果你的Kali或者Burp都是英文的,而服务器返回的是中文的,就可能导致乱码)

  • 解决安装kali 2020.1版本后的中文乱码问题:只需要安装中文字体_2020中文文字乱码视频全集-CSDN博客

  • PortSwigger 公司开发

  • 免费版

  • 付费版

image.png

使用

  • Temporary project in memory临时项目,如果用完就关闭的话,在你下次打开的时候之前的记录就都不在了
  • 需要重复渗透测试的就选New project on disk

image.png

  • User Option可以调整字体

HTTP message display改成中文字体,这样返回包有中文就不会乱码了
image.png
Character sets选择第一个,设置字符自动识别,可以很省事,是UTF-8UTF-8,是Big5Big5
image.png

截获流量

  • 手机:全局代理
  • CA证书:SSL流量截获
  • 代理选项

image.png

启动

  • Project

  • Projection Option

  • Configuration file

  • User Option

  • Target

  • Site Map(比较)

  • Scope

  • Filter

  • Web扫描器:爬网、扫漏洞

  • Sipder

  • 手动爬

  • 自动爬

  • Option

  • Scanner

  • Extender(http://www.jython.orq/downloads.html)

  • Option

  • Queue

Intruder

image.png

客户端验签

  • 浏览器客户端:分析客户端脚本
  • APP客户端:反编译客户端程序/探测

Java序列化

  • 基于Java的富客户端程序(BurpJDSer反序列化、插件)
  • https://github.com/khai-tran/BurpJDSer

image.png

Repeater

  • Change request method
  • Change body encoding
  • Copy as curl command

Sequencer

  • 分析随机数据的可预测性
  • Session cookies
  • anti-CSRF tokens
  • Start live capture
  • FIPS——美国联邦信息处理标准(Federal Information Processing Standard)

Kali里面有很多自带的字典:

image.png

Decoder

  • smart decode

Collaborator

  • 对于无法直接发现的漏洞,通过payload出发 W 与 C 服务器交互
  • param=http://rd8bxznao38t15fs234q5vt4ivomcc01.oastify.com
  • W DNS解析、HTTP请求发给 C
  • 基于密钥的身份识别
  • 官方 C、自建C、不用C
  • 安全问题:C 短时间在内存中保存数据
  • 项目选项->Misc->Burp Collaborator Server

Infiltrator

  • 部署在服务器端,注入hook指令,发现存在风险的API调用
  • 不可逆的修改服务器端字节码文件
  • 会造成性能、稳定性、通信质量、信息泄露等问题(测试环境)
  • 仅支持Java(1.4-1.8)、.NET语言环境
  • 从Burp导出安装包
  • 与Collaborator结合使用

Clickbandit

  • 检测点击解除漏洞的客户端脚本
  • 不支持微软 IE、Edge浏览器
  • Web Developer -> Console

相关内容

热门资讯

专业讨论!德扑之星真破解套路(... 专业讨论!德扑之星真破解套路(辅助挂)软件透明挂(有挂了解)-哔哩哔哩;人气非常高,ai更新快且高清...
每日必看!智星德州菠萝外挂检测... 每日必看!智星德州菠萝外挂检测(辅助挂)软件透明挂(有挂教学)-哔哩哔哩1、玩家可以在智星德州菠萝外...
透视透明挂!轰趴十三水有后台(... 轰趴十三水有后台赢率提升策略‌;透视透明挂!轰趴十三水有后台(辅助挂)软件透明挂(有挂详情)-哔哩哔...
发现玩家!德扑ai助手软件(辅... 发现玩家!德扑ai助手软件(辅助挂)透视辅助(有挂教学)-哔哩哔哩;玩家在德扑ai助手软件中需先进行...
一分钟了解!x-poker辅助... 一分钟了解!x-poker辅助软件(辅助挂)辅助透视(有挂攻略)-哔哩哔哩1、每一步都需要思考,不同...
一分钟揭秘!德州最新辅助器(辅... 一分钟揭秘!德州最新辅助器(辅助挂)透视辅助(有挂攻略)-哔哩哔哩;德州最新辅助器最新版本免费下载安...
玩家攻略推荐!德州辅助(辅助挂... 玩家攻略推荐!德州辅助(辅助挂)辅助透视(有挂了解)-哔哩哔哩是由北京得德州辅助黑科技有限公司精心研...
揭秘真相!pokernow德州... 《揭秘真相!pokernow德州(辅助挂)辅助透视(有挂介绍)-哔哩哔哩》 pokernow德州软件...
五分钟了解!德州之星辅助器(辅... 五分钟了解!德州之星辅助器(辅助挂)辅助透视(有挂透明)-哔哩哔哩1、很好的工具软件,可以解锁游戏的...
推荐一款!pokermaste... 1、推荐一款!pokermaster有外挂(辅助挂)透视辅助(有挂教学)-哔哩哔哩;详细教程。2、p...