Burp Suite安裝
介紹
Burp Suite是一款集成化的滲透測(cè)試工具,包含了許多功能�����,可以幫助我們高效地完成對(duì)web應(yīng)用程序的滲透測(cè)試和攻擊�。
由Java語言編寫,執(zhí)行程序是Java文件類型的jar文件��,免費(fèi)版可在官網(wǎng)下載。
-
環(huán)境
運(yùn)行時(shí)依賴JRE�,需提前安裝Java環(huán)境。
百度JDK下載即可�。
(打開cmd,輸入Java-version,便可查看版本信息)
-
環(huán)境變量配置
右擊計(jì)算機(jī)->屬性->高級(jí)系統(tǒng)設(shè)置->環(huán)境變量->新建系統(tǒng)變量->變量名輸入“JAVA_HOME”,變量值處輸入自己的JDK安裝路徑
系統(tǒng)變量->PATH變量->變量值前面加上“%JAVA_HOME%/bin”
系統(tǒng)變量->CLASSPATH變量�����,不存在則新建->變量名前面加上“.;%JAVA_HOME%/lib/dt.jar;%JAVA_HOME%/lib/tools,jar;”,
打開cmd��,輸入javac����,若返回幫助信息,配置成功
-
運(yùn)行
打開jar文件即可
Burp Suite 抓包
工具概述
burp是以攔截代理的方式�,攔截所有通過代理的網(wǎng)絡(luò)流量,如客戶端的請(qǐng)求數(shù)據(jù)���、服務(wù)端的返回信息等����。burp主要攔截HTTP和HTTPS協(xié)議的流量��,通過攔截,burp以中間人的方式對(duì)客戶端的請(qǐng)求數(shù)據(jù)�����,服務(wù)端的返回信息做各種處理���,以達(dá)到安全測(cè)試的作用��。
設(shè)置代理信息
我們可以設(shè)置代理信息�,攔截web瀏覽器的流量����,并對(duì)burp代理的數(shù)據(jù)進(jìn)行處理�??衫斫鉃樽グ?/p>
抓包(packet
capture)就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲����、重發(fā)����、編輯、轉(zhuǎn)存等操作�,也用來檢查網(wǎng)絡(luò)安全。抓包也經(jīng)常被用來進(jìn)行數(shù)據(jù)截取等。
此圖片為burp的一個(gè)界面展示�,他的本地代理端口為8080
計(jì)算機(jī)代理到8080端口,便可在8080端口抓包
抓包的基本操作
proxy中打開intercept截?cái)噙x項(xiàng)卡中的攔截請(qǐng)求
打開瀏覽器��,輸入需要訪問的URL進(jìn)入����,便開始抓包,后續(xù)可根據(jù)自己需求對(duì)其進(jìn)行操作
抓HTTPS包的證書設(shè)置
CA證書再生成
瀏覽器進(jìn)入burp獲取證書
下載安裝后在瀏覽器的證書中進(jìn)行導(dǎo)入
