Burp Suite 是用于攻擊web 應(yīng)用程序的集成平臺(tái)，是一款非常好用的滲透測(cè)試工具，包含了許多工具，并為這些工具設(shè)計(jì)了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過(guò)程。Burp Suite為這些工具設(shè)計(jì)了許多接口，以加快攻擊應(yīng)用程序的過(guò)程。所有工具都共享一個(gè)請(qǐng)求，并能處理對(duì)應(yīng)的HTTP 消息、持久性、認(rèn)證、代理、日志、警報(bào)。

Burp Suite漢化版軟件功能

1、Target(目標(biāo))——顯示目標(biāo)目錄結(jié)構(gòu)的的一個(gè)功能。

2、Proxy(代理)——攔截HTTP/S的代理服務(wù)器，作為一個(gè)在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人，允許你攔截，查看，修改在兩個(gè)方向上的原始數(shù)據(jù)流。

3、Spider(蜘蛛)——應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲，它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。

4、Scanner(掃描器)——高級(jí)工具，執(zhí)行后，它能自動(dòng)地發(fā)現(xiàn)web 應(yīng)用程序的安全漏洞。

5、Intruder(入侵)——一個(gè)定制的高度可配置的工具，對(duì)web應(yīng)用程序進(jìn)行自動(dòng)化攻擊，如：枚舉標(biāo)識(shí)符，收集有用的數(shù)據(jù)，以及使用fuzzing 技術(shù)探測(cè)常規(guī)漏洞。

6、Repeater(中繼器)——一個(gè)靠手動(dòng)操作來(lái)觸發(fā)單獨(dú)的HTTP 請(qǐng)求，并分析應(yīng)用程序響應(yīng)的工具。

7、Sequencer(會(huì)話)——用來(lái)分析那些不可預(yù)知的應(yīng)用程序會(huì)話令牌和重要數(shù)據(jù)項(xiàng)的隨機(jī)性的工具。

8、Decoder(解碼器)——進(jìn)行手動(dòng)執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具。

9、Comparer(對(duì)比)——通常是通過(guò)一些相關(guān)的請(qǐng)求和響應(yīng)得到兩項(xiàng)數(shù)據(jù)的一個(gè)可視化的“差異”。

10、Extender(擴(kuò)展)——可以讓你加載Burp Suite的擴(kuò)展，使用你自己的或第三方代碼來(lái)擴(kuò)展Burp Suit的功能。

11、Options(設(shè)置)——對(duì)Burp Suite的一些設(shè)置。

Burpsuite軟件特色

1、Burp Suite是專業(yè)的漏洞分析軟件，可以檢測(cè)你網(wǎng)站出現(xiàn)的漏洞

2、適合維護(hù)人員使用，可以對(duì)你的計(jì)算機(jī)系統(tǒng)安全維護(hù)

3、支持重復(fù)掃描功能，對(duì)當(dāng)前的系統(tǒng)內(nèi)容重新檢測(cè)

4、支持更多擴(kuò)展的內(nèi)容，近十款工具維護(hù)你的系統(tǒng)

5、支持手動(dòng)選擇分析的內(nèi)容，可以添加分析模塊

6、支持常見的漏洞分析，可以檢測(cè)一百多個(gè)漏洞

7、Burp Suite企業(yè)版可以在特定時(shí)間執(zhí)行計(jì)劃掃描，或按需執(zhí)行一次性掃描。

8、可以將重復(fù)掃描配置為無(wú)限期運(yùn)行或直到定義的終點(diǎn)。

9、可以在一個(gè)位置查看給定網(wǎng)站的整個(gè)掃描歷史記錄。

burpsuite使用教程

1.使用Burp進(jìn)行抓包

這邊抓包，推薦360瀏覽器7.1版本(原因:方便)

在瀏覽器設(shè)置代理：

360瀏覽器：工具->代理服務(wù)器->代理服務(wù)器設(shè)置

設(shè)置好代理：127.0.0.1:8080 -> 確定

（這邊說(shuō)下，Burpsuite原為收費(fèi)，打開的時(shí)候使用已經(jīng)破解的補(bǔ)丁就可以正常使用，就是如下的正確打開方式）

打開BurpLoader.jar 進(jìn)行監(jiān)聽設(shè)置：

Proxy->Options

我們?cè)僮屑?xì)看下：

Interface 設(shè)置要跟前面瀏覽器設(shè)置的代理服務(wù)器一樣。

Running 一定要打勾才可以監(jiān)聽。

開始抓包：

360瀏覽器設(shè)置：

Burp設(shè)置：

這樣在瀏覽器進(jìn)行操作就可以抓到包：

可以直接在Raw這進(jìn)行修改包的內(nèi)容，最后要讓包正常傳遞過(guò)去，點(diǎn)擊Forward即可。

不要這個(gè)包，點(diǎn)擊Drop，就可以丟棄。

進(jìn)行重放包：

鼠標(biāo)對(duì)著Raw的內(nèi)容右擊，最后單擊Send To Repeater

之后，你會(huì)發(fā)現(xiàn)這樣的情況：

只需要點(diǎn)擊Repeater進(jìn)入重放功能模塊。

想要重放點(diǎn)擊Go就可以，從頁(yè)面可以看到左邊是我們抓到的包，右邊是包返回的結(jié)果。

進(jìn)行爆破：

跟上面重放是一樣的，右擊Raw的內(nèi)容，點(diǎn)擊Send to Intruder

之后也會(huì)出現(xiàn)Intruder變黃色。還是跟重放一樣，進(jìn)去爆破功能模塊。

設(shè)置爆破的參數(shù)：

進(jìn)入后，先點(diǎn)擊Clear $

把要爆破的參數(shù)后面的值選中，點(diǎn)擊Add $

設(shè)置好后，進(jìn)行字典的設(shè)置。

點(diǎn)擊Load可以載入你自己的字典。

如果要爆破4位數(shù)的字典或者5位數(shù)的(純數(shù)字)，不必自己生成字典，用Burp自帶的字典：

在進(jìn)行設(shè)置：

最后要爆破的時(shí)候，點(diǎn)擊Start attack

雙參數(shù)爆破：

兩個(gè)參數(shù)設(shè)置。

再分別進(jìn)行字典的導(dǎo)入：