課程介紹
Burp Suite 是用于測試web 應用程序的集成平臺,包含了許多工具。Burp Suite為這些工具設計了許多接口,以加快攻擊應用程序的過程。所有工具都共享一個請求,并能處理對應的HTTP 消息、持久性、認證、代理、日志、警報。
Burp Suite是Web應用程序測試的最佳工具之一,其多種功能可以幫我們執行各種任務.請求的攔截和修改,掃描web應用程序漏洞,以暴力破解登陸表單,執行會話令牌等多種的隨機性檢查。本文將做一個Burp Suite完全正的演練,主要討論它的以下特點。
1.代理–Burp Suite帶有一個代理,通過默認端口8080上運行,使用這個代理,我們可以截獲并修改從客戶端到web應用程序的數據包.
2.Spider(蜘蛛)–Burp Suite的蜘蛛功能是用來抓取Web應用程序的鏈接和內容等,它會自動提交登陸表單(通過用戶自定義輸入)的情況下.Burp Suite的蜘蛛可以爬行掃描出網站上所有的鏈接,通過對這些鏈接的詳細掃描來發現Web應用程序的漏洞 。
3.Scanner(掃描器)–它是用來掃描Web應用程序漏洞的.在測試的過程中可能會出現一些誤報。重要的是要記住,自動掃描器掃描的結果不可能完全100%準確.
4.Intruder(入侵)–此功能呢可用語多種用途,如利用漏洞,Web應用程序模糊測試,進行暴力猜解等.
5.Repeater(中繼器)–此功能用于根據不同的情況修改和發送相同的請求次數并分析.
6.Sequencer–此功能主要用來檢查Web應用程序提供的會話令牌的隨機性.并執行各種測試.
7.Decoder(解碼)–此功能可用于解碼數據找回原來的數據形式,或者進行編碼和加密數據.
8.Comparer–此功能用來執行任意的兩個請求,響應或任何其它形式的數據之間的比較.
目錄
1 : 安裝環境
任務1: Burpsuite.rar
2 : 入門使用
3 : 基本使用
4 : Intercpt的可選項配置
5 : Burpsuite-綜合實踐
|
合作伙伴與授權機構
總部李老師
