BurpSuit是用于攻击web应用程序的集成平台,包含了很多的Burp工具,通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。它主要用来做安全性渗透测试。
1、Burpsuite安装及进入
在官网直接进行下载,是付费软件,也可以找破解版进行安装。
安装成功后进入burpsuite的主界面(我使用的是community edition),如下:
点击下一步,单击startBurp就可以进入burpsuite了:
主界面进入是默认页:
2、Burpsuite抓包使用
设置浏览器局域网代理,使用chrome浏览器浏览页面,设置代理:
CA证书导入(在拦截https页时需要CA证书)
代理设置好后,在浏览器中输入代理地址:
下载CA证书,将证书导入到浏览器中,就可以抓取https地址的页面。
打开burp
在监听的端口设置与代理的端口相同。
另外下载burp CA证书还有一种方法,在burp中直接下载后导入到浏览器中:
导出CA证书后,在浏览器中导入,与前一种方法一致。
抓包:
将burp设置为Intercept is on ,在浏览器里输入地址,将Intercepte is on打开:
可查看到拦截的数据:
设置为Intercept is off关闭拦截。
截包
打开拦截功能
之前在抓包的时候可以看到,百度搜索一次要发送很多请求,这个时候停留在第一个请求上面,如果不停的点击forward的话,就会一直发送接下来的请求,如果不停点击drop就会把这些请求的包一个个丢掉。
以上可以实现简单的抓包操作,可对抓取的数据包进行操作。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
