Burpsuite的新手教程

Burpsuite的新手教程

你好啊！今天给大家介绍一款安全攻防"神器"——Burpsuite。下面让我们一起学习如何下载安装与运用吧！！

• 一、学前须知：
• 一、设置代理
• 二、学习使用模块
• • 1.Proxy（代理模块）和Intruder（入侵模块）和Decoder（破解模块）
  • 2.Spider（爬虫模块）和Sequencer（分析模块）
  • 3.Repeater（请求模块）和Comparer（对比模块）
• 总结

Burpsuite 是白帽子日常测试Web应用程序安全的集成化图形化的测试平台，Burpsuite包含了许多工具。（如下所示）

Proxy（代理模块）——它是专门拦截http://（https://）的代理服务器，它就是存在于浏览器和Web应用程序之间的中间人，方便白帽子拦截，审计，伪造发送给Web应用的原始数据。
Spider（爬虫模块）——它是一款"人工智能版"的AI网络爬虫，它可以完整的爬出Web应用程序的请求与响应。
Scanner（扫描模块）——它是特殊的高级的工具，它在执行后可以自己发现Web网站——关于安全方面的大多数漏洞。
Intruder（入侵模块）——它是泛实用的可定义的可配置工具，它面向Web网站自动发起普遍的攻击方式。eg：以及枚举，反复提交，配合 技术探测常规漏洞。
Repeater（请求模块）——它是完全由白帽黑客手工构造，专门用来提交http://（https://）请求的工具，可以辅助"白帽子"分析Web网站的工具。
Sequencer（分析模块）——它是自动的用来分析Web网站中不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder（破解模块）——它是唯一可以对Web网站进行手工化，半自动化，及全自动化的智能解码编码的工具。
Comparer（对比模块）——它是特别的对比模块，常常用来对一些Web网站的请求和响应得到不同数据的一个可视化的“差异”。

如图所示：切记：一定要配好代理IP与端口号！！！

如果不清楚位置请看Proxy（代理模块）

如下图所示：

通过点击鼠标右键，把捕获的数据发给其他模块（例如：Intruder（入侵模块）和Decoder（破解模块）），进行分析及攻击！

事列如下所示：

== 分析模块是用来测试Web网站的Session Tokens,cookice等其他加密数据流的！==

该模块还可以进行Web网络数据的请求。

例如：burpsuite使用repeater模块的实现重放攻击

最后我想告诉大家，虽然作为新手来说，Burpsuite的入门难点是：模块多样，参数复杂，设置多变。但是我希望这一篇文章能对你们有所帮助。我相信你如果掌握Burpsiute的使用方法后，一定可以在CTF比赛和漏洞挖掘中更加轻松。