Java知識分享網 - 輕松學習從此開始!????

Java知識分享網

Java1234官方群25:java1234官方群25
Java1234官方群25:838462530
     
粉絲特別福利:66套java從入門到精通實戰課程 ( 限時1小時免費領取 )

SpringBoot打造企業級進銷存

Java1234 VIP課程

領取微信掃碼登錄Java實現視頻教程

Java1234至尊VIP(特價活動)
當前位置: 主頁 > Java文檔 > Java基礎相關 >

Burp-Suite-最詳細教程使用手冊 PDF 下載


分享到:
時間:2020-07-09 12:43來源:http://www.bxroef.tw 作者:小鋒  侵權舉報
Burp-Suite-最詳細教程使用手冊 PDF 下載
失效鏈接處理
Burp-Suite-最詳細教程使用手冊 PDF 下載

整理下載:
提取碼:1cea
 
相關截圖:
 
主要內容:
什么是Burp Suite?Burp Suite是用于攻擊 web應用程序的集成平臺。它包含了許多工具,并為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP消息,持久性,認證,代理,日志,警報的一個強大的可擴展的框架。
Burp Suite能高效率地與單個工具一起工作,例如:
一個中心站點地圖是用于匯總收集到的目標應用程序信息,并通過確定的范圍來指導單個程序工作。
在一個工具處理 HTTP請求和響應時,它可以選擇調用其他任意的 Burp工具。例如,代理記錄的請求可被 Intruder用來構造一個自定義的自動攻擊的準則,也可被 Repeater用來手動攻擊,也可被 Scanner用來分析漏洞,或者被 Spider(網絡爬蟲)用來自動搜索內容。應用程序可以是”被動地”運行,而不是產生大量的自動請求。Burp Proxy把所有通過的請求和響應解析為連接和形式,同時站點地圖也相應地更新。由于完全的控制了每一個請求,你就可以以一種非入侵的方式來探測敏感的應用程序。
當你瀏覽網頁(這取決于定義的目標范圍)時,通過自動掃描經過代理的請求就能發現安全漏洞。
IburpExtender是用來擴展 Burp Suite和單個工具的功能。一個工具處理的數據結果,可以被其他工具隨意的使用,并產生相應的結果。
第一章  Burp Suite工具箱
Proxy——是一個攔截 HTTP /S的代理服務器,作為一個在瀏覽器和目標應用程序之間的中間人,允許你攔截,查看,修改在兩個方向上的原始數據流。
Spider——是一個應用智能感應的網絡爬蟲,它能完整的枚舉應用程序的內容和功能。
Scanner[僅限專業版]——是一個高級的工具,執行后,它能自動地發現 web應用程序的安全漏洞。
Intruder——是一個定制的高度可配置的工具,對web應用程序進行自動化攻擊,如:枚舉標識符,收集有用的數據,以及使用 fuzzing技術探測常規漏洞。
Repeater——是一個靠手動操作來補發單獨的 HTTP請求,并分析應用程序響應的工具。
Sequencer——是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。
Decoder——是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。
Comparer——是一個實用的工具,通常是通過一些相關的請求和響應得到兩項數據的一個可視化的”差異”。
第二章  Burp Suite的使用
當 Burp Suite運行后,Burp Proxy開起默認的 8080端口作為本地代理接口。通過置一個 web瀏覽器使用其代理服務器,所有的網站流量可以被攔截,查看和修改。默認情況下,對非媒體資源的請求將被攔截并顯示(可以通過 Burp Proxy選項里的 options選項修改默認值)。對所有通過 Burp Proxy網站流量使用預設的方案進行分析,然后納入到目標站點地圖中,來勾勒出一張包含訪問的應用程序的內容和功能的畫面。在 Burp Suite專業版中,默認
情況下,Burp Scanner是被動地分析所有的請求來確定一系列的安全漏洞。
在你開始認真的工作之前,你最好為指定工作范圍。最簡單的方法就是瀏覽訪問目標應
用程序,然后找到相關主機或目錄的站點地圖,并使用上下菜單添加 URL路徑范圍。通過配置的這個中心范圍,能以任意方式控制單個 Burp工具的運行。
當你瀏覽目標應用程序時,你可以手動編輯代理截獲的請求和響應,或者把攔截完全關閉。在攔截關閉后,每一個請求,響應和內容的歷史記錄仍能再站點地圖中積累下來。和修改代理內截獲的消息一樣,你可以把這些消息發送到其他 Burp工具執行一些操作:你可以把請求發送到 Repeater,手動微調這些對應用程序的攻擊,并重新發送多次的單獨請求。
[專業版]你可以把請求發送到 Scanner,執行主動或被動的漏洞掃描。
你可以把請求發送到 Intruer,加載一個自定義的自動攻擊方案,進行確定一些常規漏洞。
如果你看到一個響應,包含不可預知內容的會話令牌或其他標識符,你可以把它發送到Sequencer來測試它的隨機性。
當請求或響應中包含不透明數據時,可以把它發送到 Decoder進行智能解碼和識別一些隱藏的信息。
[專業版]你可使用一些 engagement工具使你的工作更快更有效。
你在代理歷史記錄的項目,單個主機,站點地圖里目錄和文件,或者請求響應上顯示可以使用工具的任意地方上執行任意以上的操作。
可以通過一個中央日志記錄的功能,來記錄所單個工具或整個套件發出的請求和響應。
這些工具可以運行在一個單一的選項卡窗口或者一個被分離的單個窗口。所有的工具和套件的配置信息是可選為通過程序持久性的加載。在 Burp Suite專業版中,你可以保存整個組件
工具的設置狀態,在下次加載過來恢復你的工具。

------分隔線----------------------------
鋒哥公眾號


鋒哥微信號


關注公眾號
【Java資料站】
回復 666
獲取 
66套java
從菜雞到大神
項目實戰課程
大乐透走势图夸距