【工具】burp suite:基础篇

简介: Burp Suite在渗透圈里可谓是无人不知,无人不晓其模块种类繁多,功能强大,深受广大师傅们的喜爱,但是对于小白来说,Burp Suite的学习又是一大挑战那么,我们今天就开始Burp Suite的基础学习吧!

前言

Burp Suite在渗透圈里可谓是无人不知,无人不晓

其模块种类繁多,功能强大,深受广大师傅们的喜爱,但是对于小白来说,Burp Suite的学习又是一大挑战

那么,我们今天就开始Burp Suite的基础学习吧!

仪表盘(Dashboard)

Snipaste_2022-10-11_21-01-56

首先,仪表盘大致分为四个模块

Snipaste_2022-10-11_21-17-50

左上是Task,可以查看Burp Suite所运行的任务

当然,一般我们不太会关注,毕竟我们只会关注每个模块

不过,当我们有更多需求时,它就会非常有用。

Snipaste_2022-10-11_21-17-56

下来,我们来看右上的Issue activities(日志)

事件日志告诉我们Burp Suite正在做什么(例如启动代理),以及有关我们通过Burp建立的任何连接的信息。

同上,其作用也是方便我们去管理这个庞然大物

Snipaste_2022-10-11_21-18-01

接着是Event log,这个是付费功能,它会列出自动扫描仪发现的所有漏洞,我们了解就好,等我有钱购买专业版的时候,我会再细细道来的,呜呜呜

Snipaste_2022-10-11_21-18-13

最后是通告(Advisory),在右下角,其会提供Burp Suite扫描器所得到的漏洞详情,了解就好。

用户设置

在配置代理之前,我们需要明白几个选项,我们简单了解一下

Snipaste_2022-10-11_21-22-46

user option下有四个选项

分别是connections,TLS,Display,Misc

connections允许我们控制Burp如何与目标建立连接

TLS 即传输层安全性(Trunsport Layer Security)

display 允许我们根据自己的需求来改变外观

MIsc允许我们设置快捷键等,让我们更流畅的使用它

代理设置

代理是本工具最为基本最为重要的工具

它的原理大概是:

浏览器发送所有数据给代理——代理进行拦截与修改——代理发送至服务端——服务端法索至代理————代理在返回给浏览器

因此,这种拦截请求的能力最终意味着我们可以完全控制我们的Web流量,这将大大方便我们的渗透工作

我们在之前很多靶机演示都提到过这个功能,如果你有兴趣的话,可以去我的个人博客进行查看,或者去b站搜索Zacarx查看演示视频,当然,我们以后也会大量且频繁的使用它,希望不熟悉的小白可以多多关注

我们一般会使用火狐浏览器[FoxyProxy]插件

点击Add添加一个新配置

配置如图:b2d6f2b724f123070ca434bf2759df91

填写我画框的,其他为空就好

然后应用我们的配置就可以了

Snipaste_2022-10-12_12-48-22

然后我们在proxy模块点击intercept(就是左边我圈出来的)

如果你不想配置火狐,或者嫌麻烦的话,可以点击右边我圈出来的,可以直接打开配置好的浏览器

范围设置

如果你访问了很多服务,那么burp拦截的流量可能让你目不暇接

那么,你就需要通过范围设置来圈定你想获取的信息

大致设置如下:

Snipaste_2022-10-12_12-55-02

Snipaste_2022-10-12_12-55-12

这样我们就可以锁定我们所拦截的地址了

那好,本次我们讲解了burp的基本操作,后续的文章我们会讲解其更多模块,尽情期待!

目录
相关文章
|
2月前
|
网络安全 数据安全/隐私保护 安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(二)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(二)
173 0
|
2月前
|
Web App开发 测试技术 网络安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(一)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(一)
97 0
|
3月前
|
安全 数据安全/隐私保护
Burp Suite暴力破解表单账密步骤
Burp Suite暴力破解表单账密步骤
153 0
|
7月前
|
安全 网络安全
谁还不会安装Burp Suite?
谁还不会安装Burp Suite?
138 1
|
Java Linux 数据安全/隐私保护
Burp Suite的使用(常用模块)
Burp Suite的使用(常用模块)
247 1
MacBook Pro M1 安装Burp Suite教程
这一期主要针对1.0与2.0的区别介绍。 下一期:针对 二级三级的检查内容进行分析 等级测评 1.0与2.0 了解等保测评 信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。 等保1.0规定 2007年和2008年颁布实施的<<信息安全等级保护管理办法>>《信息安全等级保护基本要求》 等保2.0规
|
安全 Java
Burp Suite应用分享之Web漏洞扫描
Burp Suite应用分享之Web漏洞扫描
|
安全 测试技术 定位技术
【网络安全】渗透测试工具——Burp Suite(中)
【网络安全】渗透测试工具——Burp Suite(中)
691 0
【网络安全】渗透测试工具——Burp Suite(中)
|
SQL 缓存 安全
【网络安全】渗透测试工具——Burp Suite(下)
【网络安全】渗透测试工具——Burp Suite(下)
413 0
【网络安全】渗透测试工具——Burp Suite(下)
|
安全 测试技术 网络安全
【网络安全】渗透测试工具——Burp Suite(上)
【网络安全】渗透测试工具——Burp Suite(上)
549 0
【网络安全】渗透测试工具——Burp Suite(上)