渗透测试攻击推荐之Burp Suite 从入门到放弃……

​今天小编向我们悬镜安全实验室的技术大大请教关于漏洞扫描的问题，想让技术大大给我推荐几本书学习一下，毕竟也是要努力提高自己的知识水平嘛。于是技术大大给我推荐了几套书籍

心灰意冷的小编决定还是从悬镜安全实验室的拿手绝活：渗透测试开始学起吧，听说最常用的一款工具 burp suite还挺厉害的 研究一下。

Burp Suite是一款针对Web应用程序做安全测试的集成平台。

它包含了许多工具，并为这些工具设计了许多接口，可以极大的加快我们对Web应用程序安全测试的过程。

所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。

图片来自网络

BurpSuite的工具箱功能特别强大，能把多个单项工具有效地结合到一起使用

Proxy——是一个拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。Intercepting proxy是针对web应用渗透测试工具的功能。Burp Suite的代理工具非常容易使用，并且能和其他工具紧密配合。

Spider——是一个应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。当你浏览Web应用时，它会从HTML响应内容中主动生成一份URL列表，然后尝试连接URL。

Intruder——是一个定制的高度可配置的工具，也是获取Web应用信息的工具。它可以用来爆破，枚举，漏洞测试等任何你想要用的测试手段，然后从结果中获取数据。

Repeater——是一个靠手动操作来补发单独的HTTP 请求，并分析应用程序响应的工具。

Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。

Comparer——是一个实用的工具，通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

关于burp suite 的详细教程网上俯拾皆是 正当小编看的入迷时，技术大大突然告诉我，用这个软件，要小心了！

 

原来，在burp suite的V1.7.27版本中，被曝出了远程代码执行漏洞。

演示视频：http://v.youku.com/v_show/id_XMzAzNjM1NTg4NA==.html

看起来是有图有真相啊！然而burp suite则表示，该视频有可能是伪造的，关于该漏洞的证据并不充分。随即网友和burp suite在推特上展开了撕逼环节。

不过，对于互联网安全从业者来说，这个漏洞无论是真是假，提高警惕性是必要的，悬镜安实验室始终抱着不放过任何一个可能的潜在漏洞的态度对待我们的工作，正是这样的态度才造就我们的三合一漏洞检测平台云鉴：服务器漏洞扫描、web漏洞扫描、app风险评估一步到位。 

借助悬镜GPU集群运算平台全自动化检测，快如闪电，省心。

融合了云诺大数据智能检测云平台的海量漏洞数据，安心。

配合悬镜服务器卫士保护服务器，放心。

你的服务器有没有漏洞，测测就知道。点击云鉴漏洞检测平台进行体验。