学习笔记-七burpsuite的使用

Burpsuite的使用

一、burp简介:

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

二、工具箱:

(1)Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。

(2)Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。

(3)Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。

(4)Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。

(5)Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。

(6)Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

(7)Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。

(8)Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

三、burp安装

Burp suite需要安装Java环境

JDK下载地址:

http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe

Burpsuite下载地址:http://pan.baidu.com/s/1o6yPa8U

Burpsuite安装步骤:

(1)直接安装JDK,然后一直点下一步(next),就行了!

图1

(2)用右键单击“我的电脑”,用鼠标左键点击属性

图2

(3)在打开的目录中点击“高级系统设置”,然后再在出现的框图上单击“环境变量”在系统变量中添加变量,其对应的位置是JDK安装的地方,我的是 "C:\Program Files
(x86)\Java\jre6\bin\java.exe" -cp BurpLoader.jar;burpsuite_pro_v1.6.jar
larry.lau.BurpLoader

图3

(4)解压你下载的burpsuite,打开burpsuite文件夹,双击BurpLoader(版本不同,你所要点击的文件名或许不同)

图4

(5)直接选择“我接受”

图5

图6

四、burpsuite平台的使用:

我们先简单的试用一下Proxy(在浏览器和目标程序之间,拦截,查看,修改在两个方向上的原始数据流)

(1)首先,在burpsuite平台上设置要监听的端口号和地址;随意的打开一个网页,找到右上角的工具一栏,点击打开选择Internet选项。

图7

图8

(2)点击连接——局域网设置——勾选“为LAN使用代理服务器”——填写地址和端口号。

图9

(3)添加IP地址和端口号,

图10

(4)查看详细信息:

图11

(5)在文本栏中输入关键字,查看情况:

图12

来自为知笔记(Wiz)

时间: 2024-10-08 19:37:08

学习笔记-七burpsuite的使用的相关文章

第十七篇:博采众长--初探WDDM驱动学习笔记(七)

基于WDDM驱动的DirectX视频加速重定向框架设计与实现 现在的研究生的论文, 真正质量高的, 少之又少, 开题开得特别大, 动不动就要搞个大课题, 从绪论开始到真正自己所做的内容之间, 是东拼西凑地抄概念, 抄公式, 达到字数篇幅的要求, 而自己正真做了什么, 有哪些实际感受, 做出的内容, 相比前面的东拼西凑就几点内容, 之后就草草结束, 步入感谢的段落. 原因不光只有学生自己, 所谓的读研, 如果没有一个环境, 学生有再大的愿望, 再强的毅力, 到头来也只是空无奈. 有些导师要写书,

马哥学习笔记七——LAMP编译安装之MYSQL

1.准备数据存放的文件系统 新建一个逻辑卷,并将其挂载至特定目录即可.这里不再给出过程. 这里假设其逻辑卷的挂载目录为/mydata,而后需要创建/mydata/data目录做为mysql数据的存放目录. 2.新建用户以安全方式运行进程: # groupadd -r mysql # useradd -g mysql -r -s /sbin/nologin -M -d /mydata/data mysql # chown -R mysql:mysql /mydata/data 3.安装并初始化my

Lua学习笔记(七):迭代器与泛型for

1.迭代器与闭包 迭代器是一种支持指针类型的结构,它可以遍历集合的每一个元素.在Lua中我们常常使用函数来描述迭代器,每次调用该函数就返回集合的下一个元素. 迭代器需要保留上一次成功调用的状态和下一次成功调用的状态,也就是他知道来自于哪里和将要前往哪里.闭包提供的机制可以很容易实现这个任务.记住:闭包是一个内部函数,它可以访问一个或者多个外部函数的外部局部变量.每次闭包的成功调用后这些外部局部变量都保存他们的值(状态).当然如果要创建一个闭包必须要创建其外部局部变量.所以一个典型的闭包的结构包含

python学习笔记七:条件&循环语句

1.print/import更多信息 print打印多个表达式,使用逗号隔开 >>> print 'Age:',42 Age: 42   #注意个结果之间有一个空格符 import:从模块导入函数 import 模块 from 模块 import 函数 from 模块 import * 如果两个模块都有open函数的时候, 1)使用下面方法使用: module1.open()... module2.open()... 2)语句末尾增加as子句 >>> import ma

swift学习笔记(七)自动引用计数

与Object-c一样,swift使用自动引用计数来跟踪并管理应用使用的内存.当实例不再被使用时,及retainCount=0时,会自动释放是理所占用的内存空间. 注:引用计数仅适用于类的实例,因为struct和enumeration属于值类型,也就不牵涉引用,所以其存储和管理方式并不是引用计数. 当一个实例被初始化时,系统会自动分配一定的内存空间,用于管理属性和方法.当实例对象不再被使用时,其内存空间被收回. swift中的引用类型分为三种,即Strong强引用,weak弱引用和无主引用unw

Swift学习笔记七:闭包

闭包可以 捕获 和存储其所在上下文中任意常量和变量的引用. Swift 会为您管理在 捕获 过程中涉及到的内存操作. 在 函数 章节中介绍的全局和嵌套函数实际上也是特殊的闭包,闭包采取如下三种形式之一: 1. 全局函数是一个有名字但不会捕获任何值的闭包 2. 嵌套函数是一个有名字并可以捕获其封闭函数域内值的闭包 3. 闭包表达式是一个可以捕获其上下文中变量或常量值的没有名字的闭包 一.闭包表达式 闭包函数类似于Objective-C中的block.下面我们用事实说话: let counts =

Linux System Programming 学习笔记(七) 线程

1. Threading is the creation and management of multiple units of execution within a single process 二进制文件是驻留在存储介质上,已被编译成操作系统可以使用,准备执行但没有正运行的休眠程序 进程是操作系统对 正在执行中的二进制文件的抽象:已加载的二进制.虚拟内存.内核资源 线程是进程内的执行单元 processes are running binaries, threads are the smal

CCNA学习笔记七——路由概述

静态路由协议: 动态路由协议:AS(自治系统):执行统一路由策略的一组设备的集合 EGP(外部网关协议): BGP:边界网关协议 IGP(内部网关协议): 距离矢量协议: RIP:V1,V2 IGRP EIGRP 链路状态路由协议: OSPF IS-IS 静态路由: 特点: 路由表是手工设置的 除非网络管理员干预,否则静态路由不会发生变化 路由表的形成不需要占用网络资源 适合环境 一般用于网络规模很小,拓扑结构固定的网络中 默认路由: 特点: 在所有路由类型中,默认路由优先级最低 适用环境: 一

[傅里叶变换及其应用学习笔记] 七. 傅里叶正(反)变换复习

这份是本人的学习笔记,课程为网易公开课上的斯坦福大学公开课:傅里叶变换及其应用. 傅里叶变换没有统一的定义 符号 傅里叶变换的符号在不同的书籍可能有不同的写法: 如正变换的符号:$\eta f(s)$,$\hat{f}(s)$,$F(s)$ 如反变换的符号:$\eta^{-1}f(t)$,$\check{f}(t)$,$f(t)$ 公式 傅里叶变换的公式也没有统一的写法: 本课程采用的是如下公式 $\eta f(s) = \displaystyle{\int_{-\infty}^{\infty}