安全测试学习(二)安全测试工具之BurpSuite
一、下载并安装
前提条件:需要安装jdk
BurpSuite的安装可参考网上的教程完成
安装完成后根据提示打开 BurpSuite,打开过程中出现弹框点击 ok
打开后如图所示
二、设置代理
要让 BurpSuite能成功拦截浏览器请求,需要先设置浏览器和 BurpSuite 的代理一致。以搜狗浏览器为例
浏览器设置完成后再设置 BurpSuite
三、开始使用
代理设置完成后,打开搜狗浏览器,输入地址并回车,可以看到请求被拦截,请求的内容在 Proxy 标签页中。如图
标签页中的四个操作按钮作用为
Foward:释放请求
Drop:丢弃请求
Intercept is on/off:on表示开启拦截,off表示关闭拦截
Action:对拦截的请求进行其它操作
四、常用的 Action 操作
1.暴力**
拦截请求后点击 Action -> Send to Intruder
切换到Intruder标签
在positions中设置要进行暴力**的参数
Payloads 中设置用于暴力**的数据字典
常用的几种字典
1)默认的Simple list
复制excel
点击Paste
或者自己手动添加数据
2)Character blocks
注意:暴力**要谨慎作用于删除操作,因为会发送真实的请求
2.重复执行某个请求
拦截请求后点击 Action -> Send to Repeater
切换到Repeater标签
左边是请求Request,右边是响应Response
每点击一次Go,请求就发送一次,这个功能可以实时修改请求并查看响应,但是请求实际并没有被释放(页面没有变化)
以上就是我对 BurpSuite 的基本使用情况,后续如果有使用到其它功能,将在这里继续补充。
扫码关注微信公众号