Web安全工具—Burp suite(持续更新)

本文阅读 4 分钟

Web安全工具—Burp suite

img

简介:Burp suite是用于攻击Web应用程序的集成平台,其包含了许多工具,并为这些工具设计了许多接口,所有的工具都共享一个能处理并显示HTTP消息,是一个具有持久性,认证,代理,日志,警报的一个强大的可扩展的框架

功能模块:

Proxy(代理):

代理模块其本质是中间人代理,通过在浏览器上设置数据包发送的代理主机为Burp suite,Burpsuite通过代理模块对浏览器发送过来的数据进行转发,丢弃,放行操作 浏览器代理设置img Burp suite代理设置img 访问127.0.0.1:8080显示img 总结:根据上述即可判断浏览器发送出去的http/https数据都先会发送给Burp suite,Bp根据具体的需求选择不同的动作来执行img

扫描模块:

用于扫描Web应用程序中的漏洞,扫描方式值可以自定义的,这个模块在旧版中有个单独的Scanner模块,新版本中存在于dashboadr模块中。 img 扫描显示img

Intruder模块(攻击):

这个模块的主要作用是数据包利用,例如漏洞利用,暴力破解,fuzzing测试(fuzzing是一种基于缺陷注入的自动软件测试技术,通过编写fuzzer工具向目标发送某种形式的输入并观察其响应来发现问题,这种输入是完全随机或构造),通常使用Proxy代理将获取到的数据包发送到Intruder模块进行攻击。 发送数据包给Intruder模块:通过对变量值进行Payload赋值,对目标进行漏洞利用 img

Repeater模块(重放):

重放模块是就可以修改和重复发送一个请求很多次,同时也可以对返回的结果进行分析,其和Intruder模块一样也可以通过Proxy模块将数据发送给重放模块 发送数据包给Repeater模块img 修改参数值观察响应包进行分析img

Decoder(编码):

编码模块可以用来解码或者编码数据 编码:./编码为%2e%2f img 解码:%2e%2f解码为./ img

Comparer模块(比较):

用来比较不同的请求和返回值,通常都是用来比较同样输入的返回值,确定变化的地方。 img

总结:

Burp suite在Web安全测试中是非常厉害且经常使用的工具,常用模块主要是上面介绍的几个,通常和Burp suite一起搭配使用的还有扫描工具Nmap,后续会对各个模块的详细使用进行介绍。

相关文章:

Web安全工具—Nmap(持续更新)

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/weixin_44431280/article/details/123386304
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复