news 2026/7/2 2:19:42

安全性测试之Burp Suite的使用

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
安全性测试之Burp Suite的使用
  • 1.概述
    • 1.1 Burp Suite
    • 1.2 主要功能
    • 1.3 安装步骤
  • 2.常用模块功能介绍
    • 2.1Proxy
      • 2.1.1Burp Suite代理设置步骤:
      • 2.1.2截包功能
    • 2.2Target
      • 2.2.1导航功能
      • 2.2.2黑名单/白名单功能
    • 2.3Spider
      • 2.3.1被动爬网
      • 2.3.2主动爬网
    • 2.4Scanner
      • 主动扫描
    • 2.5Intruder
      • 暴力破解
    • 2.6Repeater
      • 抓包后修改密码重复登录
    • 2.7其他模块
      • 2.7.1Sequencer
      • 2.7.2Decoder
      • 2.7.3Comparer
      • 2.7.4Extender
      • 2.7.5 Project options
      • 2.7.6 User options
      • 2.7.7 Alerts

1.概述

1.1 Burp Suite

Burp Suite是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp Suite是商业软件。
官网:https://portswigger.net

1.2 主要功能

包含13个模块:Target、 Proxy、Spider、Scanner、Intruder、 Repeater、Sequencer、Decoder、Comparer、Extender、Project options、User options、Alerts

主要功能:

  • 代理功能,可以截获和修改从客户端到web端的数据包
  • 爬网功能,可以爬行到网站内所有链接
  • 扫描功能,可以自动探测网页中各种类型的漏洞
  • 入侵功能,可以对网站进行模糊测试和暴力破解
  • 中继器功能,可以将截获的数据包任意次数地重新发送
  • 定序器功能,可能检查Web应用程序提供的会话令牌的随机性
  • 解码功能,可以对截获数据的任意内容进行编解码
  • 比较器功能,可以比较任意两个请求或响应的区别,并进一步分析

1.3 安装步骤

  1. 从官网下载安装包
  2. 安装和配置Java环境
  3. 启动和激活Burp Suite:java –jar burp-suite.jar
  4. 在浏览器设置代理
  5. 在浏览器中导入Burp Suite的CA证书

2.常用模块功能介绍

2.1Proxy

2.1.1Burp Suite代理设置步骤:

1)确定代理地址

2)在浏览器中设置代理(以firefox为例)

3)从Burp Suite中导出CA证书


4)将CA证书导入到浏览器中

2.1.2截包功能



以访问百度为例:

2.2Target

2.2.1导航功能

可在导航界面查看所有抓到的包信息,将抓到的包根据域名分类显示,黑色代表有效访问(有请求和响应),灰色代表无效访问(有请求无响应)

2.2.2黑名单/白名单功能

可设置允许访问的网站和不允许访问的网站,以过滤’https://www.baidu.com’网站为例:
1)在白名单中设置要过滤的网址:https://www.baidu.com

2)在Site Map界面,点击上方空白区域弹出高级查询窗口,选中‘Show only in-scope items’

3) 导航界面根据过滤条件显示结果

2.3Spider

2.3.1被动爬网

访问哪个页面就爬哪个页面

2.3.2主动爬网

1) 设置普通表单的处理方式:

设置登录表单的提交方式:

2) 启动主动爬网,在Target中查看爬网结果

2.4Scanner

主动扫描

1)通用设置

2) 设置扫描的漏洞范围:

3)对漏报和误报的设置:

4)启动主动扫描

5)观察扫描进度

6) 生成测试报告

2.5Intruder

暴力破解

利用pikachu靶场演示
1)在界面输入正确用户名(前提是知晓用户名)和错误的密码,进行登录并抓包

2)在Burp Suite中,右键选择‘send to Intruder’,将抓到的包发到Intruder模块

3)在要暴力破解的位置上加上暴破标记

4)加载字典文件开始破解

5)分析攻击的结果,其中找到唯一的一个返回内容长度和其它都不一样的payload,大概率就是正确结果

2.6Repeater

抓包后修改密码重复登录

1) 在靶场pikachu中输入正确用户名:admin和错误密码:123,并用Burp Suite抓包,在Burp Suite中将包发送到Repeater模块

2) 在Repeater模块中修改请求内容并重发

3) 在浏览器中查看结果

2.7其他模块

2.7.1Sequencer

分析token值是否安全

2.7.2Decoder

功能:可对字符串进行编解码和加密

2.7.3Comparer

功能:可对两个文本文件的内容进行比较

2.7.4Extender

导入自己编写的插件

2.7.5 Project options

功能:当前项目的设置,支持导入和导出

2.7.6 User options

功能:通用设置

2.7.7 Alerts

功能:显示系统报错、警告信息

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 22:42:12

暗黑2终极单机增强:PlugY插件完整使用指南

暗黑2终极单机增强:PlugY插件完整使用指南 【免费下载链接】PlugY PlugY, The Survival Kit - Plug-in for Diablo II Lord of Destruction 项目地址: https://gitcode.com/gh_mirrors/pl/PlugY 还在为暗黑破坏神2单机模式的种种限制而苦恼吗?Plu…

作者头像 李华
网站建设 2026/6/26 5:06:04

NoFences:让Windows桌面重获新生的开源管理神器

NoFences:让Windows桌面重获新生的开源管理神器 【免费下载链接】NoFences 🚧 Open Source Stardock Fences alternative 项目地址: https://gitcode.com/gh_mirrors/no/NoFences 你是否曾经面对杂乱的Windows桌面无从下手?各种应用程…

作者头像 李华
网站建设 2026/6/29 4:38:50

KeymouseGo深度解析:解放双手的智能自动化实践手册

KeymouseGo深度解析:解放双手的智能自动化实践手册 【免费下载链接】KeymouseGo 类似按键精灵的鼠标键盘录制和自动化操作 模拟点击和键入 | automate mouse clicks and keyboard input 项目地址: https://gitcode.com/gh_mirrors/ke/KeymouseGo 在数字化工作…

作者头像 李华
网站建设 2026/6/24 0:04:34

ceph一些细节处理

/etc/ceph下的文件 rootnode3:~# ls /etc/ceph/ ceph.client.qemu.keyring ceph.conf rbdmap rootnode3:~# cat /etc/ceph/rbdmap # RbdDevice Parameters #poolname/imagename idclient,keyring/etc/ceph/ceph.client.keyring rootnode3:~# cat /etc/ceph/…

作者头像 李华
网站建设 2026/6/28 20:34:50

原神帧率解锁工具深度解析:突破60fps限制的完整解决方案

原神帧率解锁工具深度解析:突破60fps限制的完整解决方案 【免费下载链接】genshin-fps-unlock unlocks the 60 fps cap 项目地址: https://gitcode.com/gh_mirrors/ge/genshin-fps-unlock 《原神》作为一款画面精美、开放世界体验丰富的游戏,其60…

作者头像 李华
网站建设 2026/6/30 7:53:35

深度解析LyricsX:重新定义Mac桌面歌词显示体验的终极方案

深度解析LyricsX:重新定义Mac桌面歌词显示体验的终极方案 【免费下载链接】Lyrics Swift-based iTunes plug-in to display lyrics on the desktop. 项目地址: https://gitcode.com/gh_mirrors/lyr/Lyrics 在当今数字化音乐时代,Mac用户一直在寻找…

作者头像 李华