4个月前 (07-09)  网站建设 |   抢沙发  8 
文章评分 3 次,平均分 5.0

很多人跟博主聊过网络安全漏洞的问题,博主也用过一些寻找web漏洞或者抓包的工具。今儿就跟大伙聊聊如何抓包的问题。用到的工具是大家耳熟能详的---Burp Suite。 该工具是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

好了,废话不多说直接上教程。

一、下载工具

登录官网:https://portswigger.net/burp  里面有三种版本,其中有企业,专业,社区版。

其中企业,专业版是收费的。但是我们不用担心,百度一下直接找到破解版使用。如果找不到可以加博主微信索要都是可以的。

Burp Suite如何抓包?Burp Suite抓包教程?博主从头教你

二、安装Burp Suite并打开工具

点击next,再点击启动软件,稍微等待两三秒钟就可以了。

Burp Suite如何抓包?Burp Suite抓包教程?博主从头教你

Burp Suite如何抓包?Burp Suite抓包教程?博主从头教你

如上图为打开时候的一些提示,请耐心等待两秒钟。

三、设置浏览器的代理

博主拿谷歌浏览器为例,其他的浏览器大同小异。打开浏览器的设置->高级设置,

Burp Suite如何抓包?Burp Suite抓包教程?博主从头教你

Burp Suite如何抓包?Burp Suite抓包教程?博主从头教你

这样就算配置好了抓包的前期工作。

博主再啰嗦一句,因为Burp Suite工具是英文的,所以以下名词还需大家理解:

1.Target(目标)——显示目标目录结构的的一个功能

2.Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。

3.Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。

4.Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。

5.Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。

6.Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。

7.Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

8.Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。

9.Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

10.Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。

11.Options(设置)——对Burp Suite的一些设置

好了,看到下图大家就知道这些名词都是Burp Suite工具的菜单选项。

此时,当你访问任何一个请求的时候,就会在下图看到,我们已经抓到包了。

Burp Suite如何抓包?Burp Suite抓包教程?博主从头教你

可以直接在Raw这进行修改包的内容,最后要让包正常传递过去,点击Forward即可。

如果不想抓取当前包,直接点击Drop,就可以丢弃。

请求的参数就在当前的Raw里面,我们在这个里面可以直接修改参数,请求路径。这样等于说通过Burp Suite工具篡改了发送到服务器的包,而浏览网站的人却无法察觉。这种操作仅限于我们测试网站是否安全来使用,尽量不要去做一些违法的事情。当然这只是Burp Suite最简单,最基本的操作之一。

博主今儿跟大伙讲解了Burp Suite的安装设置及基础使用,明儿继续跟大伙聊聊Burp Suite的使用进阶。希望大家耐心关注。

 

除特别注明外,本站所有文章均为叶荣添原创,转载请注明出处来自https://www.wzxiaolou.com/251.html

关于

发表评论

表情 格式

暂无评论

切换注册

登录

忘记密码 ?

切换登录

注册

您是第 6562 位访客, 您的IP是:[100.24.125.162]