Burp Suite的使用(常用模块)

简介: Burp Suite的使用(常用模块)

Burp Suite用于攻击web应用程序,安装时会用到jdk,所以需要先配置好jdk再下载安装。

Burp Suite的常用模块

1、Dashboard模块

主要显示一些事件日志、任务等信息,在异常情况时可以在Event log模块进行分析排错。

2、Target模块

选项site map,它会在目标中以树形和表的形式显示,还可以查看完整的请求和响应。

树视图包含内容的分层表示,细分为地址、目录、文件、参数变化请求的URL。

3、Proxy模块(核心模块)

在Proxy settings里面设置对应端口

可以在浏览器设置好代理,当我们再访问界面时,流量就会被抓取。

但是我个人并不喜欢这样,我更习惯在bp里面新开一个网页,再去输入要访问的地址

bp的这个browser其实就是一个浏览器,下面红灯表示会进行拦截抓包

我们在browser输入我们要访问的网站,可以看到browser里面页面并没有加载出来

(1)Forward

表示编辑数据包后发送到服务器;

(2)Drop

表示丢弃数据包;

(3)Action

表示一些行为操作,常用的是发送到其他模块,还可以修改此请求的返回包。

(通常修改返回包绕过一些登录验证)

4、Intruder模块

(1)Target

设置目标IP和端口

(专业版里才有)

(2)Positions

设置变量和攻击类型

(3)Attack type

分为四种:

① Sniper

最基础的爆破方式,传递一个参数后选择字典就爆破对应次数,假设为5次,传递两个参数选择字典后就爆破10次。

② Battering ram

通Sniper相同,爆破5次,传递两个参数是同时爆破5次。

③ Pitchfork

交叉模式,传递两个参数,两个字典,一一对应进行爆破。

④ Cluster bomb

不知道用户名和密码下最常用的模式。


§§中间的值就是变量,一般先clear§再将需要作为变量的值add§,再选择attack type。


关于密码的爆破在前面博客http://t.csdn.cn/RH3oP   和   http://t.csdn.cn/xaI7k


中已有实例介绍和讲解,这里不再演示。

(4)Payloads

① payload sets

设置payload类型。

② payload options(社区版为payload settings)

可以导入自己下载的字典

③ payload processing

添加字典的一些加密、解密规则、hash等

④ options (社区版为settings)

设置一些线程和请求头的变化。

5、Repeater模块

将拦截到的包发到repeater模块,对数据包修改,重放后观察返回包情况。

repeater的一些设置(和专业版还是有些区别的)


(1) Update Content-Length

更新头部长度

(2)Uapack gzip/deflate

在收到gzip和deflate压缩内容的时候是否自动解压缩

(3)Follow redirections

遇到重定向怎么处理

(4)Process cookies in redirections

被重定向后是否提交cookie。

(5)View

设置请求/响应版块的布局方式。

(6)Action

一些行为操作

6、Decoder模块

编码和解码,主要是编码绕过

7、 Extender模块(Extensions)

可以添加非bp自带插件添加到该模块使用。

bp的大概用法及常用模块的介绍先到这里,后面会继续更新其他web常用工具的使用,以及CTF和kali linux的内容,喜欢的可以点赞关注收藏支持一下哈,谢谢!

目录
相关文章
|
安全 Shell 网络安全
openssh和openssl的区别是什么?
【4月更文挑战第14天】openssh和openssl的区别是什么?
1582 0
|
传感器 Linux Python
一起玩转树莓派(19)——红外遥控控制实验
红外遥控是生活中非常常见的电子器具,电视机,空调,音响等电器都可以通过遥控器进行控制。本篇博客,我们尝试来通过红外发生器和红外信号接受器来进行红外控制实验,在树莓派上通过红外遥控的按键来处理LED灯的控制。
2188 0
|
安全 前端开发 数据安全/隐私保护
BurpSuite进阶篇--自动化挖掘越权漏洞
BurpSuite进阶篇--自动化挖掘越权漏洞
1070 0
|
SQL 安全 测试技术
Burpsuite Scanner主动扫描生成安全评估报告
Burpsuite Scanner主动扫描生成安全评估报告
|
网络协议 安全 Linux
|
12月前
|
XML 存储 数据库
如何用XML表示数据结构?
如何用XML表示数据结构?【10月更文挑战第17天】
230 4
|
安全 Ubuntu Linux
在Linux中,如何实现安全的密码策略?
在Linux中,如何实现安全的密码策略?
|
数据库
1NF | 2NF | 3NF的区分以及什么是函数依赖、部分函数依赖、值传递依赖(最详细的讲解1NF、2NF、3NF的关系)
这篇文章详细讲解了数据库范式中的1NF、2NF和3NF,包括它们的定义、区分方法和如何判断部分函数依赖和传递函数依赖,以及如何将数据表规范化到相应的范式。
1NF | 2NF | 3NF的区分以及什么是函数依赖、部分函数依赖、值传递依赖(最详细的讲解1NF、2NF、3NF的关系)
|
开发者 算法 虚拟化
惊爆!Uno Platform 调试与性能分析终极攻略,从工具运用到代码优化,带你攻克开发难题成就完美应用
【8月更文挑战第31天】在 Uno Platform 中,调试可通过 Visual Studio 设置断点和逐步执行代码实现,同时浏览器开发者工具有助于 Web 版本调试。性能分析则利用 Visual Studio 的性能分析器检查 CPU 和内存使用情况,还可通过记录时间戳进行简单分析。优化性能涉及代码逻辑优化、资源管理和用户界面简化,综合利用平台提供的工具和技术,确保应用高效稳定运行。
287 0
|
存储 JavaScript 前端开发
XSS-Labs 通过解析(上)
XSS-Labs 通过解析(上)