Burp Suite 基础知识（一）

前言

大家好，我是小白，下面开始我的表演，以下内容如有雷同纯属巧合，靴靴。  （鞠躬

学到什么就写什么，可能有点乱哈。

Burp Suite 是一款用于攻击 web 应用程序的集成平台，包含了许多工具，设置了不同的模块和接口，且模块功能之间是互通关联的。

安装运行

Burp Suite 使用 Java 开发的，运行时需要依赖于 Java 运行环境，因此需要安装 jdk 。

Burp Suite 肥宅快乐版：https://pan.baidu.com/s/1muN8BuDMfkDE97kPG-kHCg   提取码：yyry

下载后直接安装使用，妈妈再也不用担心我的学习，so easy~

jdk 安装环境就傻瓜式操作，配置一下环境变量，在系统变量 path 中加上 jdk 的 bin 目录路径。

最后，设置代理服务器，以下是 Google 浏览器代理设置步骤：

打开浏览器设置---->高级设置------>打开代理设置。

应用场景

（以下几行文字源自B视频）

1.HTTP服务端接口测试

2.HTTP客户端和HTTP服务端通信测试

3.cookie统计分析

4.HTTP服务器web安全扫描

5.web常用编码和解码

6.web页面爬取

7.字符串随机性简单分析

8.文件差异对比分析

使用教程

默认情况下，burp suite 只会拦截请求的消息，如果想要拦截其他类型，可以手动设置。

勾选以下拦截选项进行修改。

啊对了，建议重新调整下字体，因为是用英文开发，所以中文字体显示时可能会出现乱码。

以下选项修改字体大小和字体样式。

 

Burp Suite 模块介绍

Target（目标）

site map（站点地图）

左侧会显示所有通过服务器代理的url，右侧显示所访问url的详尽信息。

Target Scope

勾选使用高级范围控制 （大概是这么翻译的叭=.=）

包含两部分功能：包括范围、去除范围。

proxy（代理）

简单画了下 proxy 的作用：

Intercept（截断）

默认情况下显示为“intercept is on”，处于拦截功能状态，在浏览器输入URL并回车，经过burp的数据流量将会被拦截不发送，点击“forward”传输本次数据，“drop”丢弃本次数据。

Raw

显示web请求的raw格式，并且可以手工修改其中的信息。

HTTP history 截取数据流量的历史记录。

options 可选项配置。

Intruder

可以在原始请求的基础上，修改各种请求参数。

使用步骤：

1.完成浏览器的代理设置。

2.在proxy下关闭拦截功能。

3.HTTP history中找到存在问题的请求URL，右击选择发送到intruder。

4.清除自动默认选择的猜测或破解信息的位置。（也可以手工选择、添加位置）

position下选择攻击类型

payload

最后回到position页面，点击stack attack ，发起攻击。

Scan

略。。好吧，我的肥仔快乐版里没有这个模块，肥仔失去快乐。