Burpsuite的使用
一、burp简介:
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
二、工具箱:
(1)Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
(2)Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
(3)Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。
(4)Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
(5)Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。
(6)Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
(7)Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。
(8)Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
三、burp安装
Burp suite需要安装Java环境
JDK下载地址:
http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe
Burpsuite下载地址:http://pan.baidu.com/s/1o6yPa8U
Burpsuite安装步骤:
(1)直接安装JDK,然后一直点下一步(next),就行了!
图1
(2)用右键单击“我的电脑”,用鼠标左键点击属性
图2
(3)在打开的目录中点击“高级系统设置”,然后再在出现的框图上单击“环境变量”在系统变量中添加变量,其对应的位置是JDK安装的地方,我的是 "C:\Program Files
(x86)\Java\jre6\bin\java.exe" -cp BurpLoader.jar;burpsuite_pro_v1.6.jar
larry.lau.BurpLoader
图3
(4)解压你下载的burpsuite,打开burpsuite文件夹,双击BurpLoader(版本不同,你所要点击的文件名或许不同)
图4
(5)直接选择“我接受”
图5
图6
四、burpsuite平台的使用:
我们先简单的试用一下Proxy(在浏览器和目标程序之间,拦截,查看,修改在两个方向上的原始数据流)
(1)首先,在burpsuite平台上设置要监听的端口号和地址;随意的打开一个网页,找到右上角的工具一栏,点击打开选择Internet选项。
图7
图8
(2)点击连接——局域网设置——勾选“为LAN使用代理服务器”——填写地址和端口号。
图9
(3)添加IP地址和端口号,
图10
(4)查看详细信息:
图11
(5)在文本栏中输入关键字,查看情况:
图12