随着Web2.0时代的来临,后又推向Web3.0,Web安全开始备受瞩目,对于白帽来说,测试时使用的工具越方便、全面、迅速越好。下面推荐一个工具Burp Suite,其功能包括HTTP包的截获及修改,扫描,网站爬行,爆破,注入检测等功能。下面就讲解一下Burp Suite的用法(大牛绕过)
Burp suite 是利用本地代理结果所传送的数据包,运行之前需要安装JAVA环境,当然网上转来转去的天花乱坠的教程很多,可是有用的地方很少,而有些人还在网上去卖这些工具的使用教程,实在无法忍受。
关于Burp suite 我准备分别对数据包截获修改,网站扫描,网站爆破,注入检测做分开讲解。
本次就来说一下Burp suite强悍的扫描功能。
首先,来设置下代理
此端口可以随意设置,不影响其他通信就OK
接着,我们用本地浏览器通过此代理进行网络访问。
浏览下baidu试试效果,如下图
想扫什么选什么,不然速度很慢,当然,此时已经是自动(主动)扫描模式,你所打开网页后所截获的数据的url都会被扫描到
在这里也可以设置你想定义的扫描范围,暂不做演示,我选择第二项,来扫描我所选择的网页
下面我们回到sitemap来扫描这两个站试试
Next之后可以看到我们所得到的url,点击OK 开启扫描
等待的这段时间我在说点别的,其实对于这样的检测,可以推荐大家多使用appscan和WVS之类的软件,但我个人还是比较喜欢这个,不用安装,小巧方便,扫描的类型及范围都可自定义。而且速度快。效果还算不错,功能也多。
OK,扫好了
如果有误报,可以将其标记,以后相同的问题就不会再报了
这个结果是可以输出的
好了基本上这块就差不多了,关于数据包截取改包,暴力破解,下次再说,在做这个的时候其实已经把网站爬行的地方演示了,但是这一个小小的JAVA程序,却还有很多其他的功能,下次有空在发出来给大家分享。
因为平时工作很忙,只能挑空余的时间来写点东西,分享分享,肯定会有不全面的地方,会的请飘过,不会的看看大家一起学习学习。
下次会和大家分享burp的其他使用方法和功能。
