本文主要是介绍深信服安全服务认证工程师(SCSA-S)系列课程——渗透测试环境搭建与工具使用-BurpSuite,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
BurpSuite安装与配置
BurpSuite(简称Burp)是基于Java开发的Web安全领域的集成工具,被称为信息安全界的瑞士军刀,它包含Proxy、Intruder、Repeater、Decoder、Comparer等多个模块,模块间通过共享相互传递HTTP/HTTPS消息数据包。
BurpSuite共有三个版本:社区版(Community Edition)、专业版(Professional Edition)和企业版(Enterprise Edition),社区版免费目只有最基础的功能,而专业版在社区版基础上增加了专业漏洞扫描和高级手动调试功能。
Kali系统自带BurpSuite社区版。
BurpSuite功能模块
BurpSuite其实是由多个不同的小工具(功能模块)组成的集合,工具与工具之
间可以联动
BurpSuite Proxy模块简单使用
Proxy模块应用实例1–HTTP报文抓取与修改
Proxy模块应用实例2 – HTTPS报文抓取
BurpSuite Repeater模块
作为BurpSuite中一款手工验证HTTP消息的测试工具,Repeater通常用于多次重放请求响应和手工修改请求消息及修改后对服务器端响应的消息分析,如:
- 修改请求参数,验证输入的漏洞
- 修改请求参数,验证逻辑越权
- 从拦截历史记录中,捕获特征性的请求消息进行请求重放
Repeater模块应用实例–POST注入
Burpsuite插件
BurpSuite在软件中提供了支持第三方拓展插件的功能,方便使用者编写自己的自定义插件或从插件商店中安装拓展插件。
BurpSuite扩展程序以多种方式支持自定义BurpSuite的行为,例如:
- 修改HTTP请求和响应
- 自定义U1
- 添加自定义扫描程序检查以及访问关键运行时信息,包括代理历史记录,目标站点地图和扫描程序问题等
Burpsuite Intruder
Intruder在原始请求数据的基础上,通过修改各种请求参数,以获取不同的请求应答。每一次请求中,Intruder通常会携带一个或多个有效攻击载荷(payload),在不同的位置进行攻击重放,通过应答数据的比对分析来获得需要的特征数据.
Intruder模块应用实例2–DVWA暴力破解(High级别)
这篇关于深信服安全服务认证工程师(SCSA-S)系列课程——渗透测试环境搭建与工具使用-BurpSuite的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!