山西赛盾网络安全测评|burp-常用功能
Burpsuite介绍:
一款可以进行再WEB应用程序的集成攻击测试平台 。
本文插图
常用的功能:
抓包、重放、爆破
1.使用Burp进行抓包
这边抓包 , 推荐360浏览器7.1版本(原因:方便)
在浏览器设置代理:
本文插图
360浏览器:工具->代理服务器->代理服务器设置
本文插图
设置好代理:127.0.0.1:8080 -> 确定
Burpsuite下载:
Burpsuite1.6.rar
(这边说下 , Burpsuite原为收费 , 打开的时候使用已经破解的补丁就可以正常使用 , 就是如下的正确打开方式)
打开BurpLoader.jar 进行监听设置:
本文插图
Proxy->Options
我们再仔细看下:
Interface 设置要跟前面浏览器设置的代理服务器一样 。
Running 一定要打勾才可以监听 。
开始抓包:
360浏览器设置:
本文插图
Burp设置:
本文插图
这样在浏览器进行操作就可以抓到包:
本文插图
可以直接在Raw这进行修改包的内容 , 最后要让包正常传递过去 , 点击Forward即可 。
不要这个包 , 点击Drop , 就可以丢弃 。
进行重放包:
本文插图
鼠标对着Raw的内容右击 , 最后单击Send To Repeater
之后 , 你会发现这样的情况:
只需要点击Repeater进入重放功能模块 。
本文插图
想要重放点击Go就可以 , 从页面可以看到左边是我们抓到的包 , 右边是包返回的结果 。
进行爆破:
跟上面重放是一样的 , 右击Raw的内容 , 点击Send to Intruder
之后也会出现Intruder变黄色 。 还是跟重放一样 , 进去爆破功能模块 。
设置爆破的参数:
进入后 , 先点击Clear $
把要爆破的参数后面的值选中 , 点击Add $
本文插图
设置好后 , 进行字典的设置 。
本文插图
点击Load可以载入你自己的字典 。
如果要爆破4位数的字典或者5位数的(纯数字) , 不必自己生成字典 , 用Burp自带的字典:
本文插图
在进行设置:
本文插图
最后要爆破的时候 , 点击Start attack
双参数爆破:
推荐阅读
- 快商通AI|快商通赋能中国电信集团,构筑网络安全新防线
- #火锅#字节跳动关联公司入股山西懒熊火锅超市管理公司
- 内容网易易盾四款产品入选嘶吼安全研究院《2020网络安全产业链图谱》
- 企业美洽科技:加强风控管理,维护国家网络安全
- ■美“实体清单”再增33 家,涉及网络安全等领域,产业链迎来机会
- 京东在线下单4.58万单 京东超新星计划助力山西方山县农特产热销
- 「基建」政协委员周鸿祎:尽早构建新基建网络安全防护体系
- 砍柴网《2020网络安全产业链图谱》,天威诚信入选两大安全领域
- 语音Hello语音启动网络安全宣传月 营造良好直播生态
- 网络安全一群大咖马上就要线上“开会”,讨论的是保护我们网络安全的大事