[Web安全 网络安全]-Burp Suite抓包软件‘下载‘安装‘配置‘与‘使用‘

文章目录:

一:前言

1.简介

2.主要功能

3.抓包原理

4.抓包过程

二:Burp Suite下载安装与配置

1.下载Burp Suite 

2.安装JDK(用于Java运行环境_包含JRE) 

第一步:安装JDK环境 

第二步:安装JRE环境

3.配置JAVA环境变量

第一步:【此电脑】——>【属性】——>【高级系统设置】——>【环境变量】——>【新建】系统变量:增加两个变量JAVA_HOME和CLASSPATH

第二步:修改Path变量:增加如下两个变量值

第三步:查看环境是否安装成功

4.Burp Suite jar包激活

第一步:【burpsuite目录】——>【burp-loader-keygen.jar​​​​​​​】 ——>【鼠标右键Java(TM) Platform SE binary方式打开】

第二步:点击run【这里可能点击run没有反应】——>【I Aceept】

第三步:将License内容复制到——>Burp Suite Professional中——>【Manual activation​​​​​​​】

第四步:将Manual Activation里面Copy reqest内容复制到——>Activacation Request中

第五步:将Activacation Response内容复制到——>Manual Activation里面Paste response中——>【Finsh】——>【Next】——>【Start Burp】

5.汉化BurpSuite  与  还原英文版本 

6.创建快捷方式

7.正向代理设置

8.浏览器证书导入

三:Burp Suite抓包软件的使用

1.仪表盘Dashboard——扫描

2.目标Target

3.代理Proxy——抓包

4.攻击器/测试器Intruder——重复发送请求

5.重放器Repeater——编辑HTTP请求

6.插件扩展Extender


Burp这个软件使用的特别频繁,所以特别重要!

一:前言

1.简介

Burp抓包软件,即Burp Suite,是一款广泛使用的Web应用安全测试工具,由PortSwigger Web Security开发它使用Java编写,并提供了一个图形化界面,方便用户进行Web应用程序的安全性测试基于正向代理的抓包软件:数据包拦截、修改、漏洞扫描、对目标分析正向代理:配置在客户端浏览器上的隐藏客户端真实IP正向代理的工作过程:客户端 ----> 代理服务器 ----> 目标服务器

2.主要功能

拦截HTTP/HTTPS流量Burp Suite能够拦截并处理客户端与服务器之间的HTTP和HTTPS协议的网络流量这允许用户查看、修改和分析这些流量,从而发现潜在的安全漏洞模块丰富Burp Suite包含了多个功能模块,每个模块都提供了特定的功能,以满足用户的不同需求Target(目标模块):渗透测试的目标URLProxy(代理模块):Burp使用代理,默认端口为8080,使用此代理,我们可以截获并修改从客户端到web应用程序的数据句Spider(抓取模块):其功能是用来抓取web应用程序的链接和内容等,它可以扫描出网站上的所有链接,通过这些链接的详细扫描来发现web应用程序的漏洞Scanner(扫描器模块):主要用来扫描web应用程序的漏洞Intruder(入侵模块):此模块有多种功能,如漏洞利用,web应用程序模糊测试,暴力破解等Repeater(重放/中继器模块):重放,用来拟数据包的请求与响应过程Sequencer(定序器模块):此功能主要用来检査web应用程序提供的会话令牌的随机性,并执行各种测试Decoder(解码模块):解码和编码Comparer(比较模块):比较数据包之间的异同Extender(扩展模块):Burp的一些高级功能Options(选项模块):Burp通用设置选项Alerts(警告模块):Burp的一些状态提示Logger(日志模块):记录日志信息扩展性强通过Extender(扩展模块),用户可以添加自定义的插件和扩展,以进一步增强Burp Suite的功能这为用户提供了极大的灵活性和可扩展性

3.抓包原理

通过作为HTTP代理来捕获和记录所有的网络请求和响应它拦截来自客户端的请求,将其转发到目标服务器,并接收目标服务器的响应后再转发回客户端在这个过程中,Burp Suite会捕获和记录所有的请求和响应,供用户进行分析和调试能够帮助用户发现潜在的安全漏洞并提供相应的修复建议

4.抓包过程

浏览器(网站)——> Burp Suite(本地计算机)——>网站服务器

1.监听端口Burp Suite在运行时会监听本地计算机的一个端口(通常是8080端口),等待来自客户端的请求2.拦截请求当用户在浏览器中访问一个网站时,该请求会被发送到Burp Suite代理Burp Suite会拦截这个请求,并复制一份原始请求3.转发请求Burp Suite将复制的原始请求发送到目标网站,以便目标网站可以处理该请求并返回响应4.接收响应目标网站的响应会被Burp Suite接收并复制5.转发响应Burp Suite将复制的响应转发回浏览器,以便浏览器可以显示网页内容6.捕获和记录在此过程中,Burp Suite会捕获和记录所有发送和接收的请求和响应这些请求和响应会被显示在Burp Suite的界面中,供用户进行分析和调试

二:Burp Suite下载安装与配置

1.下载Burp Suite 

官方下载:Burp Suite官网专业版本jar包下载 

官网文档:Burp Suite documentation - contents - PortSwigger

官方靶场:Web Security Academy: Free Online Training from PortSwigger

社区版:一个面向开源社区及个人
专业版:面向安全专家、研究者及企业

博主提供 点击下载 提取码: r28a

2.安装JDK(用于Java运行环境_包含JRE) 

第一步:安装JDK环境 

第二步:安装JRE环境

3.配置JAVA环境变量

第一步:【此电脑】——>【属性】——>【高级系统设置】——>【环境变量】——>【新建】系统变量:增加两个变量JAVA_HOME和CLASSPATH

系统变量名,直接复制
JAVA_HOME 系统变量JAVA_HOME的值,即刚才安装的jdk的路径:需要根据自己安装的位置进行填写
C:\Program Files\Java\jdk1.8.0_201\-------------------------------------------------------------------------变量名,直接复制粘贴
CLASSPATH  系统变量CLASSPATH的值,直接复制粘贴
.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar  

第二步:修改Path变量:增加如下两个变量值

变量值1(直接复制粘贴):%JAVA_HOME%\bin变量值2(直接复制粘贴):%JAVA_HOME%\jre\bin

第三步:查看环境是否安装成功

‘win+R’键输入‘cmd’打开命令提示符分别输入命令查看javajavacjava -version如果出现问题:说明环境配置有问题

4.Burp Suite jar包激活

注意:如果一段时间后打开创建的快捷方式,出现需要输入许可证(Enter License Key)的界面,那么再重新进行这里的操作才可以正常使用 

第一步:【burpsuite目录】——>【burp-loader-keygen.jar​​​​​​​】 ——>【鼠标右键Java(TM) Platform SE binary方式打开】

第二步:点击run【这里可能点击run没有反应】——>【I Aceept】

安装Burp Suite点击run没有反应原因一:版本不兼容在终端输入命令查看:java -version解决:版本不对就重新安装原因二::Java的环境没有配置好解决:没有配置好就好好检查原因三:不能提前打开文件burpsuite_pro_v1.7.37.jar,否则点击run会无反应解决:一定要由burp-loader-keygen.jar驱动开打Burpsuite原因四:手动不能打开解决:代码打开,在burp-loader-keygen.jar文件所在目录下输入命令java -jar burp-loader-keygen.jar

第三步:将License内容复制到——>Burp Suite Professional中——>【Manual activation​​​​​​​

第四步:将Manual Activation里面Copy reqest内容复制到——>Activacation Request中

第五步:将Activacation Response内容复制到——>Manual Activation里面Paste response中——>【Finsh】——>【Next】——>【Start Burp】

5.汉化BurpSuite  与  还原英文版本 

在上面的startburp.vbs文件输入的代码打开默认就行中文如果想用英文版本,需要删除里面的部分代码:-javaagent:BurpSuiteCn.jar 

中文界面展示 

英文界面展示 

6.创建快捷方式

进入到BurpSuite目录——>新建startburp.vbs文件——>输入如下代码——>保存Set ws = CreateObject("Wscript.Shell")ws.run "cmd /c java -Dfile.encoding=utf-8 -javaagent:BurpSuiteCn.jar -Xbootclasspath/p:burp-loader-keygen.jar -Xmx1024m -jar burpsuite_pro_v2.0.11.jar",vbhidestartburp.vbs——>鼠标右键——>发送到——>桌面快捷方式

 

7.正向代理设置

1.浏览器正向代理设置方法一:谷歌浏览器——>设置——>打开计算机的代理设置——>打开使用代理服务器——>输入地址和端口——>保存方法二:电脑——>设置——>网络和Internet——>代理——>打开使用代理服务器——>输入地址和端口——>保存方法三:firefox火狐浏览器——可以自定义代理而不是系统代理设置——>常规——>网络设置——>点击设置——>手动配置代理——>确定勾选上:也将此代理用于HTTPS设置HTTP代理:摄入地址和端口2.Burp抓包软件代理设置代理——>选项——>代理监听器——>编辑——>输入地址和端口

8.浏览器证书导入

在访问https有可能会出现不是安全链接的提示方法一访问Burp Suite Professional的地址:比如http://127.0.0.1:8080下载证书:点击CA Certificate导入证书:点击浏览器最右上角的三条杠——>设置——>隐私与安全——>证书——>查看证书——>证书颁发机构——>导入刚刚下载的证书——>勾选上新任证书——>确定方法二生成证书:Burp软件——>Proxy代理——>Options选项——>Import/export CA certificate导出证书——>Certificate in DER format——>next——>取名保存扩展和主题——>搜索代理(FoxyProxy Standard)——>添加到firefox配置插件代理参数:添加——>输入标题burp——>代理ip输入127.0.0.1——>端口8080导入证书:火狐浏览器——>设置——>搜索证书——>查看证书——>证书颁发机构——>导入刚刚下载的证书——>勾选上新任证书——>确定

三:Burp Suite抓包软件的使用

1.仪表盘Dashboard——扫描

仪表盘——>新建扫描——>在扫描的URL框里面输入链接

2.目标Target

网站地图
范围
问题定义

3.代理Proxy——抓包

拦截:放行、丢弃、拦截已开启关闭(请求响应)、操作、打开自动浏览器HTTP历史记录:抓包代码查看地址端口:netstat -an -p tcp -oWebSocket历史记录选项:设置地址端口

4.攻击器/测试器Intruder——重复发送请求

位置选择攻击类型:狙击手单个(单个匹配)、撞击物一组(用相同数据)、交叉多个(依次匹配一对)、集束炸弹多个(相互交叉)payload位置——>选中——>清除payload——>添加payloadpayloadpayload集选择对应类型——>payload选项设置——>开始攻击资源池/有效载荷有效载荷集、有效载荷选项、有效载荷处理、有效载荷编码选项请求标头、请求引擎、攻击结果、Grep-Match、Grep-Extract、Grep-Payloads、重定向

5.重放器Repeater——编辑HTTP请求

Request请求Response响应:修改不同数据,然后观察服务器的返回在Proxy模块中右键点击需要测试的请求,选择“Send to Repeater”将请求发送到Repeater模块在Repeater模块中,可以对请求进行修改,例如修改请求参数、请求头等可以多次发送,重放请求,每次服务器都会返回对应新的响应

6.插件扩展Extender

扩展:添加——>选择扩展文件BApp商店:选中想要的——>右下角点击安装API选项:配置环境(如果是python开发的插件需要安装jpython)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/57289.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2、片元着色器之有向距离场(SDF)运算:并集、差集、交集

1、并集 float sdCircle(vec2 uv,float r){return length(uv)-r; } float sdRect(vec2 uv,float r){return max(abs(uv.x),abs(uv.y))-r; } void mainImage( out vec4 fragColor, in vec2 fragCoord ) {float w 1.0/iResolution.y;// 计算纹理坐标vec2 uv fragCoord/iResolu…

【Apache Zookeeper】

一、简介 1、场景 如何让⼀个应⽤中多个独⽴的程序协同⼯作是⼀件⾮常困难的事情。开发这样的应⽤,很容易让很多开发⼈员陷⼊如何使多个程序协同⼯作的逻辑中,最后导致没有时间更好地思考和实现他们⾃⼰的应⽤程序逻辑;又或者开发⼈员对协同…

面试经典 150 题.P26. 删除有序数组中的重复项(003)

本题来自:力扣-面试经典 150 题 面试经典 150 题 - 学习计划 - 力扣(LeetCode)全球极客挚爱的技术成长平台https://leetcode.cn/studyplan/top-interview-150/ 题解: class Solution {public int removeDuplicates(int[] nums) …

名词(术语)了解 -- SSG

名词(术语)了解 – SSG 什么是静态站点生成(SSG)? 静态站点生成(Static Site Generation, SSG)是一种在构建时生成静态HTML网页的网站构建方法。与动态网站相比,SSG会提前将所有页面渲染成静态HTML文件,这些文件可以直接部署到…

MyBatis 学习记录(六)之逆向工程

MyBatis 学习记录(六) MyBatis的逆向工程1、创建逆向工程添加依赖和插件创建逆向工程的配置文件执行MBG插件的generate目标最终生成的效果 2、QBC查询 MyBatis的逆向工程 **正向工程:**先创建Java实体类,由框架负责根据实体类生成…

【项目实战】通过LLaMaFactory+Qwen2-VL-2B微调一个多模态医疗大模型

前言 随着多模态大模型的发展,其不仅限于文字处理,更能够在图像、视频、音频方面进行识别与理解。医疗领域中,医生们往往需要对各种医学图像进行处理,以辅助诊断和治疗。如果将多模态大模型与图像诊断相结合,那么这会…

本篇文章来介绍下dockerfile

我开始玩儿docker的时候,都是通过docker pull命令把基础镜像拉取到本地,然后在跑成容器,在操作容器,做一些自己的事情,比如安装个java环境什么的,直到我接触到了dockerfile,我发现dockerfile真是…

Java识别图片或扫描PDF中的文字

目录 使用工具 Java识别图片中的文字 Java识别扫描PDF中的文字 注意事项 图片和扫描文件通常以非文本格式存在,这使得其中的文字信息难以直接编辑、搜索或复制。为了解决这个问题,光学字符识别(OCR)技术应运而生。OCR通过分析…

view design之table自定义单元格模版

View Design之table自定义单元格模版 在 columns 的某列声明 slot 后&#xff0c;就可以在 Table 的 slot 中使用参数。 slot 的参数有 3 个&#xff1a;当前行数据 row&#xff0c;当前列数据 column&#xff0c;当前行序号 index。 完整示例 <template><Table …

【Leecode】Leecode刷题之路第35天之搜索插入位置

题目出处 35-搜索插入位置-题目出处 题目描述 个人解法 思路&#xff1a; 1.依次遍历数组&#xff0c;看目标值是否在数组中 2.如果不在&#xff0c;将目标值插入数组&#xff08;涉及到数组移动、扩容&#xff09;&#xff0c;返回下标代码示例&#xff1a;&#xff08;Java…

深入解析JavaScript 中的 Object.defineProperty() 与 Object.defineProperties() 方法

目录 前言1. Object.defineProperty()2. Object.defineProperties() 前言 写在前面&#xff0c;基本的功能与差异如下&#xff1a; Object.defineProperty()&#xff1a; 定义单个属性&#xff0c;接受三个参数&#xff08;对象、属性名、描述符&#xff09; Object.definePr…

CAN物理层(ISO 11898-2 2024)

一、说明 CAN(Controller area network)中文名称是控制器局域网,是用于解决汽车众多控制部件之间的数据交换而开发的一种串行数据通信总线,可以使用双绞线来传输信号,由德国博世公司在20世纪80年代专门为汽车行业开发。 ISO 11898-2 2024版相对于2016版,主要由以下更新…

VQGAN(2021-06:Taming Transformers for High-Resolution Image Synthesis)

论文&#xff1a;Taming Transformers for High-Resolution Image Synthesis 1. 背景介绍 2022年中旬&#xff0c;以扩散模型为核心的图像生成模型将AI绘画带入了大众的视野。实际上&#xff0c;在更早的一年之前&#xff0c;就有了一个能根据文字生成高清图片的模型——VQGAN…

HBuilder X 中Vue.js基础使用4->表单输入绑定(三)

表单绑定是实现动态数据双向绑定的重要部分&#xff0c;它让开发者可以轻松地管理和响应用户输入。本文将详细介绍如何在Vue 3中利用v-model指令以及一些特定修饰符来处理不同类型的表单输入。 v-model双向数据绑定 Vue的 v-model 指令提供了双向绑定的功能&#xff0c;key在…

「虚拟现实中的心理咨询:探索心灵世界的新方法」

内容概要 当我们想到虚拟现实时&#xff0c;很多人会联想到游戏或娱乐&#xff0c;但如今其在心理咨询领域的应用正在逐渐崭露头角。传统的心理咨询方式常常局限在咨询室内&#xff0c;面临着空间和情感隔阂的问题。然而&#xff0c;沉浸式环境的出现&#xff0c;使得治疗者能…

2024最新的开源博客系统:vue3.x+SpringBoot 3.x 前后端分离

本文转载自&#xff1a;https://fangcaicoding.cn/article/54 大家好&#xff01;我是方才&#xff0c;目前是8人后端研发团队的负责人&#xff0c;拥有6年后端经验&3年团队管理经验&#xff0c;截止目前面试过近200位候选人&#xff0c;主导过单表上10亿、累计上100亿数据…

C++核心编程和桌面应用开发 第十七天(set和multiset容器 pair map和multimap容器)

目录 1.set和multiset容器 1.1构造和赋值 1.2交换和大小 1.3插入和删除 1.4统计和查找 1.5pair对组 1.6set和multiset的区别 1.7指定内置数据类型排序规则 1.8指定自定义数据类型排序规则 2.map和multimap容器 2.1构造和赋值 2.2交换和大小 2.3插入和删除 2.4统计…

01.如何用DDD重构老项目

学习资料来源&#xff1a;DDD独家秘籍视频合集 https://space.bilibili.com/24690212/channel/collectiondetail?sid1940048&ctype0 文章目录 动机DDD与重构实践重构? 重写从一开始就采用DDD重构步骤1. 添加领域模块2.分离出有价值的代码3.迁移到领域模块4.重复2,3 动机 …

OSI公布OSAID 1.0版 “开源人工智能”首次被定义

在2024年ALL THINGS OPEN大会上&#xff0c;Open Source Initiative (OSI) 正式发布了开源人工智能定义&#xff08;OSAID&#xff09;1.0版本&#xff0c;标志着全球首个开源AI标准的诞生。OSAID将作为衡量人工智能系统是否符合“开源人工智能”标准的依据&#xff0c;为社区主…

接口测试(八)jmeter——参数化(CSV Data Set Config)

一、CSV Data Set Config 需求&#xff1a;批量注册5个用户&#xff0c;从CSV文件导入用户数据 1. 【线程组】–>【添加】–>【配置元件】–>【CSV Data Set Config】 2. 【CSV数据文件设置】设置如下 3. 设置线程数为5 4. 运行后查看响应结果