使用BurpSuite套件扫描及测试Web应用 - sbw Blog

使用BurpSuite套件扫描及测试Web应用

来源: 石博文博客 | 浏览: 8316 | 评论: 0 发表时间: 2014-07-23

BurpSuite是一款使用Java编写的,用于Web安全审计与扫描套件。它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等,同时这些小工具之间还可以互相协作,在BurpSuite这个框架下进行各种强大的,可订制的攻击/扫描方案。安全人员可以借用它进行半自动的网络安全审计,开发人员也可以使用它的扫描工具进行网站压力测试与攻击测试,以检测Web应用的安全问题。



BurpSuite
BurpSuite下载与安装

BurpSuite使用Java语言写成,也就意味着它可以运行于各种平台,当前的最新版本为1.6,每个用户一年的费用为299$,但同时也提供了免费的版本(点此下载),付费版本与免费版本的区别如下:

BurpSuite
代理设置

和各种浏览器的抓包工具一样,BurpSuite也提供了抓包功能,它的工作方式为在浏览器和网站之间做了代理,先进到Proxy-Options选项卡,编辑代理的地址与端口。——当然你也需要在浏览器上设置代理为此地址。

BurpSuite Proxy

我们可能只希望针对某个网站进行抓包,在下面的设置中,添加一个规则,只拦截特定的数据包。——通常这不是必须的,毕竟我们很少在分析一个网站时浏览其它网页。

BurpSuite intercept client requests
修改数据包

设置好一切后,到Proxy-Intercept选项,打开Intercept,然后博主在贴吧发了个贴子,可以看到一个数据请求已经被拦截下来了,此时我们可以修改数据包的内容,或者直接点击转发,此时重新加工的数据包才会被真正的发往服务器。

BurpSuite Intercept packet 拦截 抓包 修改数据 包
使用爬虫

在Target选项卡可以看到所有通过BurpSuite代理的数据包和网站列表,点击任意一个列表可以选择使用爬虫爬下这个网站。

BurpSuite spider

BurpSuite抓取到的网站资源

BurpSuite spider 抓取 爬虫
针对参数的测试

表现出BurpSuite强大的测试工能的就是Intruder工具了,它可以使用预先定义的一个列表来尝试某几个参数——在XSS测试与SQL注入测试中尤其有用,有经验的安全人员通常会有一个常用的测试列表。


设置好一个HTTP请求后,需要被尝试的关键字使用$$符号包含起来,BurpSuite就会认为这是一个要尝试的变量。

BurpSuite Intruder 遍历 爆破 尝试

对应的参数尝试列表需要在Options中设置,也可以从一个文件中导入。这里我们编辑了几个测试例子。

BurpSuite Intruder List 列表 攻击

选择菜单栏的Intruder Attack就可以开始了,BurpSuite会依次对每个参数尝试列表中的字段。

BurpSuite Intruder Attack


此外,BurpSuite还有专门用于发送数据包的Repeater和编码/解码的Decoder等等工具,当前有部分是需要购买专业版的。熟练使用它可以高效的进行Web Test。




没有人评论过此文,还不快抢个沙发
  • 昵称: *
  • 邮箱:
  • 网址:
  • 记住我的信息
  • Color
  • Red
  • Blue
  • Code
  • bash
  • cpp
  • css
  • java
  • js
  • perl
  • php
  • python
  • ruby
  • sql
  • xml