1、介绍
burpsuite,简称为burp,是基于java开发的针对web应用程序的攻击平台。
官网:Burp Suite – Application Security Testing Software – PortSwigger
2、下载和安装
分为pro版和community版,前者收费,后者免费。
community版本无法使用pro的自动测试等功能,但大多数基础的功能还是保留。
本机使用Burpsuite community edition v2022.8.5.
3、启动
(1)创建
temporary project:短暂的项目,可见community版本只能选择该选项
new project on disk:保存到硬盘的新项目
open existing project:打开保存的项目
(2)配置
use burp defaults:使用默认的项目配置
load from configuration file:使用配置文件
4、dashboard仪表盘模块
需要注意的是右下方的内存使用和硬盘使用。
尤其针对community版本,如果大批量请求,会影响内存,可能造成请求缓慢,甚至爆掉。
5、Repeater重放模块
用于对请求的手动编辑,以及查看响应,进行分析。
需要注意,该模块的请求不会在target或者proxy中出现记录。以及理论上来说,repeater的请求可以任意符合http规范的编辑,包括请求其他域名,但是无法修改http协议。
6、Decoder文本编码解码模块
7、Compare比较模块
注意:这里的比较以行为单位是很巧妙的设计,尤其是针对头部字段的比较。