文章目录
- 前言
- 一、安装配置
- 1.1 环境
- 1.2 安装过程
- 1.3 科技过程
- 二、常用功能
- 2.1 Manual penetration testing features
- 2.2 Advanced/custom automated attacks
- 2.3 Automated scanning for vulnerabilities
- 2.4 Productivity tools
- 2.5 Extensions
- 三、拓展功能
前言
Burp Suite(burpsuit官网) 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。
它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。
一、安装配置
1.1 环境
jdk1.8
burpsuite_pro_v1.7.11.jar
burploader-crack.jar
如果机器上同时安装了其他版本的jdk,请使用1.8对应的java.exe -jar burploader-crack.jar命令来启动burploader-crack.jar
私信获得下载地址
1.2 安装过程
- 双击burpsuite_pro_v1.7.11.jar运行
- 或者执行命令 java.exe -jar burpsuite_pro_v1.7.11.jar
1.3 科技过程
可参考此处
简要分为几步:
- 启动burploader-crack.jar
- 通过burploader-crack 按钮Run 启动同级目录的burpsuite_pro_v1.7.11.jar
- 复制license到bursuite 然后next 选择manual activation
- 复制bursuite的Activation Request到crack的Activation Request然后就生成Activation Response再复制- - 它粘贴到bursuit 再next 就ok啦
二、常用功能
常用功能包括:
- 漏扫
- 抓包
- 暴力破解
- 重放
2.1 Manual penetration testing features
特征:
- 拦截所有你能在浏览器上看到的
Intercept everything your browser sees:A powerful proxy/history lets you modify all HTTP(S) communications passing through your browser.
拦截所有你能在浏览器上看到的:一个强大的代理/历史可以修改所有通过您的浏览器的HTTP (S)通信。
- 管理侦察数据
Manage recon data: All target data is aggregated and stored in a target site map - with filtering and annotation functions.
管理侦察数据:
- Expose hidden attack surface
- Test for clickjacking attacks
- Work with WebSockets
- Break HTTPS effectively
- Manually test for out-of-band vulnerabilities
- Speed up granular workflows
- Quickly assess your target
- Assess token strength
2.2 Advanced/custom automated attacks
2.3 Automated scanning for vulnerabilities
2.4 Productivity tools
2.5 Extensions
三、拓展功能
使用Burp Suite和Python进行自动化漏洞挖掘
利用Burp Suite进行移动应用程序渗透测试
