一起学安全测试——Burp Suite初探
来源:互联网 发布:网络异常 请重新登录 编辑:程序博客网 时间:2024/05/18 03:32
我想很多人跟我一样,一直认为安全测试是测试领域中非常酷非常高大上的方向,就像黑客一样,之前做功能也了解过一点SQL注入和XSS漏洞,现在,需要往这个高大上的门槛里迈进半步,让我们先从一样工具开始吧——Burp Suite
一 Burp 是什么
学习一款工具的第一步就是搞清楚它是什么,是做什么的?
Burp 是一款安全领域非常重要的工具(或者说是平台),它用于攻击Web应用程序。
Burp里面包含一些工具,这些工具都基于Burp的一个能处理并显示HTTP消息的框架。
Web应用程序 我们很常见,所有网页所在的服务端都可以说是一个Web应用程序。简要说来它的架构都是浏览器-服务器端形式,浏览器向服务器发送HTTP请求,服务器处理后返回HTTP信息给浏览器。
而Burp就是在中间插了一脚,使其变为了下图这样:
所有的请求与响应都需要通过Burp,这就使我们有机会修改HTTP请求与响应,实现对Web应用的攻击。
二 Burp 的部署
Burp在网上有很多下载地址,分为免费版(下载链接)与专业版,免费版有很多限制,部分功能不可用;专业版在网上也有破解版,大家可自行百度下载。
Burp的部署非常简单,只需要有JAVA环境就可以了。Burp就是一个jar包,配置好JAVA环境后,在cmd里执行
java -jar /your_burp_path/BurpSuite.jar
就可以启动了。注:your_burp_path是你的jar包所在路径。
Burp默认分配64M内存,在我们进行渗透测试的时候可能不够用,可以为其分配更大的内存,如下:
java -jar -Xmx2048M /your_burp_path/BurpSuite.jar
建议你建一个bat文件,内容为以上命令,这样每次直接双击bat就可以执行了。
三 Burp 的结构
我将Burp分为两部分,一部分是基础架构,它们为其他高级工具提供基本的功能,包括Target、Proxy以及Options;第二部分是高级工具,包括Spider、Scanner、Intruder、Repeater等更复杂的功能。如图:
其中最基本的一项功能模块即是Proxy 代理模块,正是这个模块让Burp插入到浏览器与服务器之间,使其成为相互沟通的传声筒,更为我们之后的各种扫描、攻击提供了基础。
这一节我们学习了Burp是什么、Burp怎么部署、以及Burp的结构是什么样的,接下来我们要开始使用Burp了,下一节我们学习一下如何配置代理。
- 一起学安全测试——Burp Suite初探
- 一起学安全测试——Burp Suite Proxy与浏览器设置
- 一起学安全测试——Burp Suite Intruder的4种攻击类型
- 一起学安全测试——用Burp Suite进行暴力破解
- 一起学安全测试——用Burp Suite进行暴力破解
- Burp Suite使用介绍——准备工作
- Burp Suite使用介绍——Proxy功能(一)
- Burp Suite使用介绍——Proxy功能(二)
- Burp Suite使用介绍——Proxy功能(三)
- Burp Suite使用介绍——Proxy功能(四)
- Burp Suite使用介绍——Proxy功能(五)
- Burp Suite使用介绍——Proxy功能(六)
- Burp Suite使用介绍——Proxy功能(七)
- Burp Suite
- burp suite
- Burp Suite
- 渗透测试神器Burp Suite v1.6.12破解版
- 使用burp suite或fiddler进行越权测试的步骤
- iOS 热更新方案
- React native学习第十章:ListView
- 数和分解,乘积最大-vijos整数分解(版本2)
- java:最大波动
- 基于Redis的分布式锁真的安全吗?(下)
- 一起学安全测试——Burp Suite初探
- C++类(Class)总结
- 我心目中理想的软件公司
- Swift
- hibernate学习笔记第二天(4)
- JAVA技术面试题
- IDEA 常用快捷键
- 唤醒清晨,有一杯Smoothie小贴士就够了
- 多线程等待唤醒机制之生产消费者模式