1、作为测试人员,用户到的安全测试工具很多,常见的有AppScan,BurpSuite,Acunetix,nessus,今天我们来安装下Web安全扫描工具BurpSuite;
2、首先解释为啥推荐BurpSuite,笔者觉得其功能强大,可以看下官网对其的解释:
一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块;Proxy功能可以拦截HTTP/S的代理服务器(手机和web);Spide功能-智能感应的网络爬虫;Intruder功能可以对web应用程序进行自动化攻击等,非常适合做安全测试。通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。
官网:https://portswigger.net/burp/
3、下载BurpSuite,百度上很多版本,可以选择笔者推荐的版本,百度网盘直接下载 ,地址如下:
链接:https://pan.baidu.com/s/1HVA1Yac20N62w3VbcfoPEw?pwd=fdmw
提取码:fdmw
4、下载windows本地(注意千万不要放在带有中文名称的目录下),对其压缩包进行解压后,解压后的只有两个jar包,分别是 burp-loader-keygen-2020_1.jar,burpsuite_pro_v2020.1.jar
5、运行jar包,前提是已经安装jdk,笔者默认大家都安装了,笔者的jdk版本是java8版本
6、进入解压的文件夹下,输入CMD,打开windows的终端编辑器,打开后执行如下的命名,打开破解解压BurpSuite的秘钥页面
java -jar burp-loader-keygen-2020_1.jar
7、打开安装BurpSuite秘钥的页面
8、步骤7安装页面,点击run按钮,弹出如下的页面(下面的秘钥是由步骤7License复制(ctrl+c)再粘贴(ctrl+v)出来的)
9、把步骤8页面执行点击Next,出现如下的弹出页面后,点击Manual activation(手动激活)
10、将弹出的小框中第二栏的内容复制粘贴到之前步骤7的第二栏中,则会在其第三栏生成一串条文,最后将这串条文复制粘贴到小框的第二个空格即可。
11、把图10生成的response复制到小弹窗的第二个空框中;
12、打开BurpSuite页面
13、点击proxy - options ,打开调试代理
浏览器输入 http://localhost:8088/ 打开如下的页面,说明BurpSuite 可用了,如需要抓取https的数据包,需要给浏览器安装个代理证书
14、我们可以通过bat的方式也可以打开burpsuite,方便很多,新建个bat文件,在里面输入如下命令后再保存执行bat即可;
start javaw -Dfile.encoding=utf-8 -Xmx1024m -noverify -Xbootclasspath/p:burp-loader-keygen-2020_1.jar -jar burpsuite_pro_v2020.1.jar
