简介
- BurpSuite(简称Burp)是基于Java开发的Web安全领域的集成工具,被称为 信息安全界的瑞士军刀,它包含Proxy、Intruder、Repeater、Decoder、 Comparer等多个模块,模块间通过共享相互传递HTTP/HTTPS消息数据包。
- BurpSuite共有三个版本:社区版(Community Edition)、专业版 (Professional Edition)和企业版(Enterprise Edition),社区版免费且只有最基础的功能,而专业版在社区版基础上增加了专业漏洞扫描和高级手动调试功能。
- Kali系统自带BurpSuite社区版。
Burpsuite主要功能模块
BurpSuite其实是由多个不同的小工具(功能模块)组成的集合,工具与工具之间可以联动
- Target:显示目标目录结构的一个功能
- Proxy:拦截HTTP/HTTPS的代理服务器,作为一个在浏览器和目标应用程序之间 的中间人,允许拦截、查看、修改在两个方向上的原始数据流
- Intruder:一个定制的高度可配置的工具,对Web应用程序进行自动化攻击,如: 枚举标识符、收集有用的数据以及使用fuzzing技术探测常规漏洞
- Repeater:一个靠手动操作来触发单独的HTTP请求,并分析应用程序响应的工具
- Sequencer:用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的 工具
- Decoder:进行手动执行或对应用程序数据者智能解码编码的工具
- Comparer:通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”
Burpsuite功能模块——Proxy
Proxy以拦截代理的方式,拦截所有通过代理的HTTP和HTTPS协议的流量。通 过拦截,BurpSuite以中间人的方式,可以对客户端请求数据、服务端返回做各 种处理,以达到安全评估测试的目的。
Burpsuite功能模块——Repeater
作为BurpSuite中一款手工验证HTTP消息的测试工具,Repeater通常用于多次 重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析
Burpsuite功能模块——Intruder
Intruder在原始请求数据的基础上,通过修改各种请求参数,以获取不同的 请求应答。每一次请求中,Intruder通常会携带一个或多个有效攻击载荷,在不同的位置进行攻击重放,通过应答数据的比对分析来获得需要的特征数据
Burpsuite功能模块——Sequencer
作为BurpSuite中一款用于检测数据样本随机性质量的工具,Sequencer通常用于检测访问令牌是否可预测、密码重置令牌是否可预测等场景,通过Sequencer 的数据样本分析,能很好地降低这些关键数据被伪造的风险
Burpsuite功能模块——Decoder
作为BurpSuite中一款编码解码工具,Decoder的功能比较简单,它能对原始数据进行各种编码格式和散列的转换
Burpsuite功能模块——Comparer
Comparer在BurpSuite中主要提供一个可视化的差异比对功能,来对比分析两 次数据之间的区别
以上便是Burpsuite中常用功能模块的简单介绍。
