介绍
Burp Suite 是一款 Web 应用安全测试平台。它充当代理,拦截并允许你查看、修改、重放浏览器与服务器间的流量。它集成了入侵者、重放器、扫描器等工具,用于发现和利用 SQL 注入、XSS 等安全漏洞。是渗透测试人员的必备工具。
使用方式
首先需要安装软件(请自行找软件进行安装,这里不进行赘述)。
界面介绍
1、新建磁盘项目
2、使用默认值,启动 Burp
3、创建完成的样子,默认会有两个代理任务。
4、看一下目标里面,目前是空的。
使用软件(重点)
说明
首先,根据我的了解,它是一个代理型。我们需要额外使用浏览器,修改浏览器的网络代理。让流量通过 Burp Suite。这样它就能抓取到需要扫描的 URL。
1、建议我们先设置一下扫描范围(一般都是 IP 端口),防止它随意抓取。注意:两个都需要配置一下。
2、设置浏览器网络代理。在浏览器设置最下面“网络设置”。
3、使用浏览器访问需要扫描的网站,多点击一些页面,让其进行爬虫抓取。
4、查看是否抓取成功、是否扫描到漏洞。
5、修复完成之后,如何重新出发扫描。需要先删除之前的问题,然后进行新的扫描创建。
