简介
BurpSuite是一款基于java语言开发的安全测试工具,安装BurpSuite之前需安装java环境,安装方法可自行百度。BurpSuite是一款集代理、爬虫、漏洞扫描、编码解码等功能于一身的工具,可以说是安全测试人员必备的一款工具。
主要模块
- Dashboard(仪表盘)——显示任务、实践日志等
- Target(目标)——爬行、分析目标网站目录结构
- Proxy(代理)——截获、拦截、修改客户端到服务器的HTTP/HTTPS数据包
- Intruder(入侵)——自动实施各种定制攻击,包括资源枚举、数据提取、模糊测试等常见漏洞
- Repeater(中继器)——手动重新发送单个HTTP 请求
- Sequencer(会话)——分析不可预知的应用程序会话令牌和重要数据项的随机性的工具。
- Decoder(解码器)——够智能识别多种编码格式并进行编码解码
- Comparer(对比)——通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
- Extender(扩展)——加载Burp Suite的扩展,使用第三方代码来扩展Burp Suit的功能。
- Options(设置)——包括Project options和User options,是对Burp Suite的一些设置。
Dashboard(仪表盘)
Target(目标)
Proxy(代理)
使用代理功能需在浏览器和burpsuite配置相同代理
火狐浏览器配置代理:
Burpsuite配置代理:
Intruder(入侵/**)
Attack type可选参数:
Sniper :单个字典,对一个或多个标记依次进行**(推荐**一个标记时用)
Battering ram :单个字典,多个标记同时进行**(推荐**账号密码可能相同时用)
Pitchfork :多个字典,字典每一行一一对应(账号密码有某种关系时用)
Cluster bomb :多个字典,对多个标记全面**(所有字典内容两两组合,**比较全面)
Repeater(中继器)
Sequencer(会话)
Decoder(解码器)
Comparer(对比)
Extender(扩展)
Options(设置)
Project options:
http:
User options :
