安全测试学习（二）安全测试工具之BurpSuite

一、下载并安装

前提条件：需要安装jdk
BurpSuite的安装可参考网上的教程完成

安装完成后根据提示打开 BurpSuite，打开过程中出现弹框点击 ok

打开后如图所示

二、设置代理

要让 BurpSuite能成功拦截浏览器请求，需要先设置浏览器和 BurpSuite 的代理一致。以搜狗浏览器为例

浏览器设置完成后再设置 BurpSuite

三、开始使用

代理设置完成后，打开搜狗浏览器，输入地址并回车，可以看到请求被拦截，请求的内容在 Proxy 标签页中。如图

标签页中的四个操作按钮作用为

Foward：释放请求

Drop：丢弃请求

Intercept is on/off：on表示开启拦截，off表示关闭拦截

Action：对拦截的请求进行其它操作

四、常用的 Action 操作

1.暴力**

拦截请求后点击 Action -> Send to Intruder

切换到Intruder标签

在positions中设置要进行暴力**的参数

Payloads 中设置用于暴力**的数据字典

常用的几种字典

1）默认的Simple list

复制excel

点击Paste

或者自己手动添加数据

2）Character blocks

注意：暴力**要谨慎作用于删除操作，因为会发送真实的请求

2.重复执行某个请求

拦截请求后点击 Action -> Send to Repeater

切换到Repeater标签

左边是请求Request，右边是响应Response

每点击一次Go，请求就发送一次，这个功能可以实时修改请求并查看响应，但是请求实际并没有被释放（页面没有变化）

以上就是我对 BurpSuite 的基本使用情况，后续如果有使用到其它功能，将在这里继续补充。

扫码关注微信公众号