.burpsuitを構築するための環境
げっぷSuiteは、Webセキュリティツールスイスアーミーナイフと言うことができる、私は、関数のどのような各部分を説明し、使用方法についての詳細は、意志、げっぷスイート(BPと呼ばれる)を学ぶために小さな白いの角度でいくつかのブログを書くつもりどのような各ボタンの機能を説明するために、メインの図挨拶。どのような大物を通過した希望と間違っていることは、基本的な使い方は、それは比較のための基礎であると言うことがあるため、さまざまな兄大きな神はハハ、友人をバイパスできることを指摘しました。
注意:xxxは100よりも大きくする必要があり、そうでない場合はburpsuitが開始されますフラッシュバックします 2 ダウンロードがその上のプロセスに基づいて、貼り付けコードのバージョンを割った。 HTTP: //www.vuln.cn/8847 次の接続テストは、これを参照することができますがダウンロード リンク:HTTPS: //pan.baidu.com/s/1PqcBQhrnOZHEz4eWyNg6HA抽出コード:2n5q
2 .burpsuitの基本的な使い方
1.proxyモジュール
1.メインインターフェイス
2.プロキシの設定:
Configurationセクションは、BPのデフォルトポート8080、あなたが追加することができます聞いて、見ることができ、操作を変更します。
追加することができ、プロキシリスニング変更
ページを、要求の要求処理の設定プロセスをクリックします。
这里解释一下不可见代理:
许多程序并没有像大部分浏览器那样有能让客户选择开启代理的功能,这时如果想要开启代理要使用Invisible proxy,要利用DNS欺骗,如客户端要访问www.A.com,首先要通过DNS欺骗,将BP的IP地址解析为www.A.com,因此客户端会把所有的流量发送给BP,再由BP实现代理,由于请求包中请求的IP换成了BP的IP,因此对要访问的www.A.com要设置对应的IP。这是在Projects options/Connections/Host Resolution中配置(这里实在Projects options模块中配置哟):
如果要访问多个域名,可以生成多个网卡,之后在新建的每个网卡上进行侦听。
接着说Proxy Listeners下面的证书部分,点击Import/export CA certificate。
对HTTPS流量访问的时候,需要伪造证书,通过自签名的证书实现加密流量的截断,解密后进行分析修改再重新加密发给真实服务器。添加证书后不会再在访问HTTPS时报证书错误。
通常为导入公钥证书
使用了BP作为代理时(设置了ip和端口),另一种方式得到证书:
在开启代理后访问:127.0.0.1:8080,点击CA Certificate,进行保存CA证书:
在浏览器设置代理:
然后访问我们设置的代理和ip:127.0.0.1:8080
把上面获得证书后在浏览器中导入。