課程介紹
Burp Suite 是用于測(cè)試web 應(yīng)用程序的集成平臺(tái),包含了許多工具。Burp Suite為這些工具設(shè)計(jì)了許多接口,以加快攻擊應(yīng)用程序的過程。所有工具都共享一個(gè)請(qǐng)求,并能處理對(duì)應(yīng)的HTTP 消息、持久性、認(rèn)證、代理、日志、警報(bào)。
Burp Suite是Web應(yīng)用程序測(cè)試的最佳工具之一,其多種功能可以幫我們執(zhí)行各種任務(wù).請(qǐng)求的攔截和修改,掃描web應(yīng)用程序漏洞,以暴力破解登陸表單,執(zhí)行會(huì)話令牌等多種的隨機(jī)性檢查。本文將做一個(gè)Burp Suite完全正的演練,主要討論它的以下特點(diǎn)。
1.代理–Burp Suite帶有一個(gè)代理,通過默認(rèn)端口8080上運(yùn)行,使用這個(gè)代理,我們可以截獲并修改從客戶端到web應(yīng)用程序的數(shù)據(jù)包.
2.Spider(蜘蛛)–Burp Suite的蜘蛛功能是用來(lái)抓取Web應(yīng)用程序的鏈接和內(nèi)容等,它會(huì)自動(dòng)提交登陸表單(通過用戶自定義輸入)的情況下.Burp Suite的蜘蛛可以爬行掃描出網(wǎng)站上所有的鏈接,通過對(duì)這些鏈接的詳細(xì)掃描來(lái)發(fā)現(xiàn)Web應(yīng)用程序的漏洞 。
3.Scanner(掃描器)–它是用來(lái)掃描Web應(yīng)用程序漏洞的.在測(cè)試的過程中可能會(huì)出現(xiàn)一些誤報(bào)。重要的是要記住,自動(dòng)掃描器掃描的結(jié)果不可能完全100%準(zhǔn)確.
4.Intruder(入侵)–此功能呢可用語(yǔ)多種用途,如利用漏洞,Web應(yīng)用程序模糊測(cè)試,進(jìn)行暴力猜解等.
5.Repeater(中繼器)–此功能用于根據(jù)不同的情況修改和發(fā)送相同的請(qǐng)求次數(shù)并分析.
6.Sequencer–此功能主要用來(lái)檢查Web應(yīng)用程序提供的會(huì)話令牌的隨機(jī)性.并執(zhí)行各種測(cè)試.
7.Decoder(解碼)–此功能可用于解碼數(shù)據(jù)找回原來(lái)的數(shù)據(jù)形式,或者進(jìn)行編碼和加密數(shù)據(jù).
8.Comparer–此功能用來(lái)執(zhí)行任意的兩個(gè)請(qǐng)求,響應(yīng)或任何其它形式的數(shù)據(jù)之間的比較.
目錄
1 : 安裝環(huán)境
任務(wù)1: Burpsuite.rar
2 : 入門使用
3 : 基本使用
4 : Intercpt的可選項(xiàng)配置
5 : Burpsuite-綜合實(shí)踐
|
合作伙伴與授權(quán)機(jī)構(gòu)
總部李老師
