Burpsuite功能介绍
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
集所有渗透功能于一身
Burpsuite是由JAVA语言编写,所以Burpsuite是一款跨平台的软件(JAVA是一个跨平台的语言)。但是在测试过程中Burpsuite不像其他自动化测试工具不需要输入任何内容即可完成测试,而需要手动的配置某些参数触发对应的内置行为才会完成测试。
Burpsuite版本区别
Burpsuite官方网址:https://portswigger.net/burp/
最主要的区别在于Web 漏洞扫描。
Enterprise:企业版
Burpsuite JAVA环境的安装
JAVA官方下载链接:https://www.java.com/zh_CN/
建议安装版本8
查看安装是否成功
安装Burpsuite
设置Burpsuite字体
默认的字体偏小,不方便我们的长时间观看
用户界面:软件自带文件的功能效果
HTTP消息显示:截获HTTP报文的字体大小和字体
配置IE浏览器代理
从而可以让我们截断IE浏览器发出的HTTP请求
Ie浏览器>工具>Internet>局域网设置>代理服务器
把勾给去掉
端口改成8080
(不推荐使用IE浏览器,用火狐好了)
截断HTTP请求
拦截关掉,是可以正常的访问网站
截取HTTPS,会因为证书问题,而截取失败。甚至正常浏览都不行
在浏览器中安装Burpsuite CA证书
1、使用系统管理员权限打开浏览器。
2、在浏览器中输入 http://burp/。
BP安装证书的地址
3、安装 CA证书。
点击CA Certificate链接>打开>安装证书>
(有的浏览器会看不到CA Certificate,但是你可以用F12来查看,源代码里面有)
下一步>选择将所有证书放入下列存储>
浏览>选择受信任的根证书颁发机构>确定>
下一步>完成>确定>确定
试一下,发现成功了
总结
1、掌握Burpsuite安装与配置字体大小。
2、掌握抓取数据包的前提设置局域网代理。
3、掌握Burpsuite 安装CA证书的方法,让我们访问HTTPS的网站不会出现错误的情况。
4、明白了之前为什么使用旧版IE浏览器,就无法浏览一些正常的网站,那是因为我们的电脑里面没有配备各CA机构证书的公钥