Burpsuite的初步熟悉掌握和使用

一.Burpsuite的初步熟悉和掌握

  1. 先自行安装Burpsuite,显示以下图片为安装完成。
    Burp Suite可执行程序是java文件类型的jar文件,免费版的可以从免费版下载地址进行下载。 免费版的Burp Suite会有许多限制,很多的高级工具无法使用,如果您想使用更多的高级功 能,需要付费购买专业版。专业版与免费版的主要区别有
    1.Burp Scanner
    2.作空间的保存和恢复
    3.拓展工具,如Target Analyzer, Content Discovery和 Task Scheduler
    本章主要讲述Burp Suite的基本配置,包含如下内容: (1)如何从命令行启动Burp Suite(2)如何设置JVM内存 大小(3)IPv6问题调试
    Burpsuite的初步熟悉掌握和使用
  2. 初步熟悉Burpsuite
    Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。
    Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方 便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动 化流程,然后它才会开始工作。
    如何从命令行启动Burp Suite
    Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。但Burp Suite是用 Java语言开发的,运行时依赖于JRE,需要提前Java可运行环境。如果没有配置Java环境或 者不知道如何配置的童鞋请参考win7电脑上的Java环境配置 配置完Java环境之后,首先验证 Java配置是否正确,如果输入java -version 出现下图的结果,证明配置正确且已完成。
    Burpsuite的初步熟悉掌握和使用
    这时,你只要在 cmd里执行java -jar /your_burpsuite_path/burpSuite.jar即可启动Burp Suite,或者,你将Burp Suite的jar放入class_path目录下,直接执行java -jar burpSuite.jar也可以启动。

二.Buipsuite的使用
3. Burpsuite的代理
Burp Suite代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数 据、服务器端的返回信息等。Burp Suite主要拦截http和https协议的流量,通过拦截,Burp Suite以中间人的方式,可以对客户端请求数据、服务端返回做各种处理,以达到安全评估测 试的目的。
在日常工作中,我们最常用的web客户端就是的web浏览器,我们可以通过代理的设置,做到 对web浏览器的流量拦截,并对经过Burp Suite代理的流量数据进行处理。
Firefox、Google Chrome下是如何配置Burp Suite代理
FireFox设置
4. 启动FireFox浏览器,点击【工具】菜单,点击【选项】。
5. 在新打开的about:preferences#advanced窗口中,依次点击【高级】-【网络】,我们将 会看到FireFox连接网络的设置选项。
6. 点击【设置】,在弹出的【连接设置】对话框中,找到“http代理”,填写127.0.0.1,端口 填写8080,最后点击【确认】保存参数设置,完成FireFox的代理配置。
当然,FireFox浏览器中,可以添加FireFox的扩展组件,对代理服务器进行管理。例如 FireX Proxy、Proxy Swither都是很好用的组件,感兴趣的读者可以自己下载试用一下。

Google Chrome设置
Google Chrome使用Burp Suite作为代理服务器的配置步骤如下:
1.启动Google Chrome浏览器,在地址栏输入chrome://settings/,回车后即显示Google Chrome浏览器的配置界面
2. 点击底部的【显示高级设置】,将显示Google Chrome浏览器的高级设置。
3. 当然,你也可以直接在搜索框中输入“代理”,回车后将自动定位到代理服务器设置功能。
4. 点击【更改代理服务器设置】,windows系统下将会弹出IE浏览器的代理设置,此时,按 照IE浏览器的设置步骤,完成代理服务器的配置即可。

上一篇:vulhub靶场环境搭建


下一篇:IDEA+docker,进行远程漏洞调试(weblogic)