Burp Suite安裝
介紹
Burp Suite是一款集成化的滲透測(cè)試工具����,包含了許多功能,可以幫助我們高效地完成對(duì)web應(yīng)用程序的滲透測(cè)試和攻擊���。
由Java語(yǔ)言編寫(xiě)���,執(zhí)行程序是Java文件類(lèi)型的jar文件,免費(fèi)版可在官網(wǎng)下載����。
-
環(huán)境
運(yùn)行時(shí)依賴(lài)JRE,需提前安裝Java環(huán)境���。
百度JDK下載即可��。
(打開(kāi)cmd���,輸入Java-version,便可查看版本信息)
-
環(huán)境變量配置
右擊計(jì)算機(jī)->屬性->高級(jí)系統(tǒng)設(shè)置->環(huán)境變量->新建系統(tǒng)變量->變量名輸入“JAVA_HOME”,變量值處輸入自己的JDK安裝路徑
系統(tǒng)變量->PATH變量->變量值前面加上“%JAVA_HOME%/bin”
系統(tǒng)變量->CLASSPATH變量�,不存在則新建->變量名前面加上“.;%JAVA_HOME%/lib/dt.jar;%JAVA_HOME%/lib/tools,jar;”,
打開(kāi)cmd�,輸入javac,若返回幫助信息���,配置成功
-
運(yùn)行
打開(kāi)jar文件即可
Burp Suite 抓包
工具概述
burp是以攔截代理的方式��,攔截所有通過(guò)代理的網(wǎng)絡(luò)流量��,如客戶(hù)端的請(qǐng)求數(shù)據(jù)��、服務(wù)端的返回信息等�。burp主要攔截HTTP和HTTPS協(xié)議的流量�,通過(guò)攔截,burp以中間人的方式對(duì)客戶(hù)端的請(qǐng)求數(shù)據(jù)�����,服務(wù)端的返回信息做各種處理�,以達(dá)到安全測(cè)試的作用�。
設(shè)置代理信息
我們可以設(shè)置代理信息����,攔截web瀏覽器的流量��,并對(duì)burp代理的數(shù)據(jù)進(jìn)行處理�。可理解為抓包����。
抓包(packet
capture)就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)��、編輯�、轉(zhuǎn)存等操作,也用來(lái)檢查網(wǎng)絡(luò)安全�。抓包也經(jīng)常被用來(lái)進(jìn)行數(shù)據(jù)截取等。
此圖片為burp的一個(gè)界面展示��,他的本地代理端口為8080
計(jì)算機(jī)代理到8080端口�,便可在8080端口抓包
抓包的基本操作
proxy中打開(kāi)intercept截?cái)噙x項(xiàng)卡中的攔截請(qǐng)求
打開(kāi)瀏覽器,輸入需要訪問(wèn)的URL進(jìn)入����,便開(kāi)始抓包��,后續(xù)可根據(jù)自己需求對(duì)其進(jìn)行操作
抓HTTPS包的證書(shū)設(shè)置
CA證書(shū)再生成
瀏覽器進(jìn)入burp獲取證書(shū)
下載安裝后在瀏覽器的證書(shū)中進(jìn)行導(dǎo)入
