Burp Suite安裝
介紹
Burp Suite是一款集成化的滲透測試工具�����,包含了許多功能,可以幫助我們高效地完成對web應(yīng)用程序的滲透測試和攻擊�����。
由Java語言編寫�,執(zhí)行程序是Java文件類型的jar文件,免費版可在官網(wǎng)下載���。
-
環(huán)境
運行時依賴JRE����,需提前安裝Java環(huán)境����。
百度JDK下載即可。
(打開cmd���,輸入Java-version,便可查看版本信息)
-
環(huán)境變量配置
右擊計算機(jī)->屬性->高級系統(tǒng)設(shè)置->環(huán)境變量->新建系統(tǒng)變量->變量名輸入“JAVA_HOME”,變量值處輸入自己的JDK安裝路徑
系統(tǒng)變量->PATH變量->變量值前面加上“%JAVA_HOME%/bin”
系統(tǒng)變量->CLASSPATH變量,不存在則新建->變量名前面加上“.;%JAVA_HOME%/lib/dt.jar;%JAVA_HOME%/lib/tools,jar;”,
打開cmd����,輸入javac,若返回幫助信息����,配置成功
-
運行
打開jar文件即可
Burp Suite 抓包
工具概述
burp是以攔截代理的方式�,攔截所有通過代理的網(wǎng)絡(luò)流量�����,如客戶端的請求數(shù)據(jù)��、服務(wù)端的返回信息等���。burp主要攔截HTTP和HTTPS協(xié)議的流量���,通過攔截,burp以中間人的方式對客戶端的請求數(shù)據(jù)���,服務(wù)端的返回信息做各種處理����,以達(dá)到安全測試的作用�。
設(shè)置代理信息
我們可以設(shè)置代理信息,攔截web瀏覽器的流量����,并對burp代理的數(shù)據(jù)進(jìn)行處理���。可理解為抓包��。
抓包(packet
capture)就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲����、重發(fā)、編輯���、轉(zhuǎn)存等操作��,也用來檢查網(wǎng)絡(luò)安全���。抓包也經(jīng)常被用來進(jìn)行數(shù)據(jù)截取等。
此圖片為burp的一個界面展示��,他的本地代理端口為8080
計算機(jī)代理到8080端口�����,便可在8080端口抓包
抓包的基本操作
proxy中打開intercept截斷選項卡中的攔截請求
打開瀏覽器���,輸入需要訪問的URL進(jìn)入��,便開始抓包��,后續(xù)可根據(jù)自己需求對其進(jìn)行操作
抓HTTPS包的證書設(shè)置
CA證書再生成
瀏覽器進(jìn)入burp獲取證書
下載安裝后在瀏覽器的證書中進(jìn)行導(dǎo)入
