BurpSuite系列之----BurpSuite基本介紹及環境配置

阿新 • • 發佈：2019-01-28

一、BurpSuite簡介

Burp Suite 是用於攻擊web 應用程式的整合平臺。它包含了許多工具，併為這些工具設計了許多介面，以促進加快攻擊應用程式的過程。所有的工具都共享一個能處理並顯示HTTP 訊息，永續性，認證，代理，日誌，警報的一個強大的可擴充套件的框架。

Burp Suite 包含了一系列burp 工具，這些工具之間有大量介面可以互相通訊，之所以這樣設計的目的是為了促進和提高整個攻擊的效率。平臺中所有工具共享同一robust 框架，以便統一處理HTTP 請求，永續性，認證，上游代理，日誌記錄，報警和可擴充套件性。Burp Suite允許攻擊者結合手工和自動技術去列舉、分析、攻擊Web 應用程式。這些不同

的burp 工具通過協同工作，有效的分享資訊，支援以某種工具中的信息為基礎供另一種工具使用的方式發起攻擊。

Burp Suite 的介面

主要模組：

1. Target(目標)——顯示目標目錄結構的的一個功能
2. Proxy(代理)——攔截HTTP/S的代理伺服器，作為一個在瀏覽器和目標應用程式之間的中間人，允許你攔截，檢視，修改在兩個方向上的原始資料流。
3. Spider(蜘蛛)——應用智慧感應的網路爬蟲，它能完整的列舉應用程式的內容和功能。
4. Scanner(掃描器)——高階工具，執行後，它能自動地發現web 應用程式的安全漏洞。
5. Intruder(入侵)——一個定製的高度可配置的工具，對web應用程式進行自動化攻擊，如：列舉識別符號，收集有用的資料，以及使用fuzzing 技術探測常規漏洞。
6. Repeater(中繼器)——一個靠手動操作來觸發單獨的HTTP 請求，並分析應用程式響應的工具。
7. Sequencer(會話)——用來分析那些不可預知的應用程式會話令牌和重要資料項的隨機性的工具。
8. Decoder(解碼器)——進行手動執行或對應用程式資料者智慧解碼編碼的工具。
9. Comparer(對比)——通常是通過一些相關的請求和響應得到兩項資料的一個視覺化的“差異”。
10. Extender(擴充套件)——可以讓你載入Burp Suite的擴充套件，使用你自己的或第三方程式碼來擴充套件Burp Suit的功能。
11. Options(設定)——對Burp Suite的一些設定
12. Alerts(警告)——Burp Suite在執行過程中發生的一寫錯誤

二、BurpSuite環境配置

由於BurpSuite是用java開發的所以要想使用這個工具、需先安裝JDK、在安裝好JDK之後、就要配置瀏覽器代理。

瀏覽器代理的設定

- 什麼叫瀏覽器代理？

- 如何設定瀏覽器代理？
- IE瀏覽器的代理設定
- 谷歌瀏覽器的代理設定
- 火狐瀏覽器的代理設定

什麼叫瀏覽器代理？

> 提供代理服務的電腦系統或其它型別的網路終端稱為代理伺服器（英文：Proxy Server）。一個完整的代理請求過程為：客戶端首先與代理伺服器建立連線，接著根據代理伺服器所使用的代理協議，請求對目標伺服器建立連線、或者獲得目標伺服器的指定資源。而所謂的瀏覽器代理就是給瀏覽器指定一個代理伺服器，瀏覽器的所有請求都會經過這個代理伺服器。

如何設定瀏覽器代理？

1.IE瀏覽器的代理設定方法

我這用的是Internet Explorer 11