当前位置:   article > 正文

Burp Suite:集成型的渗透测试工具_集成渗透

集成渗透

Burp Proxy基本使用:

前提:确认安装好JRE,BurpSuite正常使用,完成浏览器的代理服务器配置。
一、Porxy–>intercept
1、–>interception is on(拦截功能打开)/off(拦截功能关闭)
2、–>Forward(拦截的信息继续传输)/Drop(拦截的信息不再处理,信息会丢失)
3、–>Action 传递请求消息,也可以改变请求消息的拦截设置
4、–>Raw这是视图主要显示web请求的raw格式,包括请求地址、http协议版本、主机头、浏览器信息、Accept可接受的内容类型、字符集、编码方式等。可以通过手工修改这些信息,对服务器进行渗透测试。
5、–>params视图主要显示客户端请求的信息、包括GET或者POST请求参数、Cooki参数。可以通过修改这些请求参数来完成对服务器的渗透测试。
6、–>Headers和Raw相似,只不过这个显得比较直观。
7、–>Hex显示Row的二进制内容,可以通过编译器进行修改。
Porxy–>Options
1、客户端请求信息拦截:拦截客户端发送到服务器端消息。
包括拦截规则配置,错误消息自动修复,自动更新Content-Length消息头三部分。如下图:
在这里插入图片描述Automatically fix missing被选中则表示再一次消息传输中,BurpSuite会自动修复丢失的多行或新行。此功能对于手工修改消息时,为了防止错误有很好的保护效果。
Automatically update Content-Length被选中,则当请求消息被修改后,Content-Length消息头部也会自动被修改,替换与之对应的的值。
2、服务器端返回消息拦截:拦截服务器端返回消息配置项。
它的功能主要包含intercept response based on the follow rules和Automatically update Content-Length header when the response edited两个选项,其功能分别与客户端请求消息
拦截中的intercept request based on the follow rules、Automatically update Content-Length
header when the request edited相对应。

如下图:
在这里插入图片描述
3、正则表达式配置:主要用来自动替换请求消息和服务器端返回消息中的某些值和文本,主要是支持正则表达式。
如下图:在这里插入图片描述历史记录History
Burp Porxy的历史记录由HTTP历史和WebSockets两部分组成。
Proxy在burpsuite中占有很重要的作用,接下来的抓包攻击等都有围绕Proxy而展开。

抓包

本次以淘宝首页进行举例,如下图证明抓到包,鼠标对着Row的内容右击,最后单击Send To Repeater在这里插入图片描述只需要点击Repeater进入重放功能模块。抓包成功
在这里插入图片描述这仅仅是一个简简单单的抓包,以及其中核心部分Porxy。更深层的了解学习使用burpsuite需要清楚地了解上面每一个框口的作用和使用方法。接下来加油吧!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/509709
推荐阅读
相关标签
  

闽ICP备14008679号