Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。
平台中所有工具共享同一robust框架,以便统一处理HTTP请求、持久性、认证、上游代理、日志记录、报警和可扩展性。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。
Burp Suite通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。官方提供免费版和专业版,以下是两个版本的功能对比。
Burpsuite原为收费,打开的时候使用已经破解的补丁就可以正常使用,就是如下的正确打开方式
打开BurpLoader.jar 进行监听设置:
Proxy->Options
我们再仔细看下:
Interface 设置要跟前面浏览器设置的代理服务器一样。
Running 一定要打勾才可以监听。
Burp设置:
这样在浏览器进行操作就可以抓到包:
可以直接在Raw这进行修改包的内容,最后要让包正常传递过去,点击Forward即可。
不要这个包,点击Drop,就可以丢弃。
Chrome 浏览器配置:
Falcon Proxy扩展程序配置浏览器代理.
需要抓包的网页是个本地搭建的网址, 一般会通过localhost或者127.0.0.1访问,但是如果通过这俩头的话Burp是抓不到包的。
必须通过本机的IP访问
通过ipconfig查看我的IP是192.168.1.101
于是通过本机IP访问本机网页
成功抓包
Burp Suite 下载地址:
https://pan.baidu.com/s/1i4ANPlj?pwd=79ps 密码: 79ps
争议:多个破解版中存在后门,自行检测!我自己只用免费版!
http://bbs.pediy.com/showthread.php?p=1415096
原文地址:
https://www.cnblogs.com/coderge/p/13684438.html
https://www.uedbox.com/post/8967/
https://zhuanlan.zhihu.com/p/22288110