Burpsuite简介
Burpsuite是用于攻击web应用程序的集成平台,它可以算是web安全工具里面的瑞士军刀。所有的工具共享一个能处理并显示HTTP消息的可扩展框架,模块之间无缝交换所有信息。
Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。
Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。
Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
不过一般情况下最常用的就是Intruder,进行爆破攻击。
Burpsuite是由java语言编写的一款跨平台的软件,但是burpsuite不像自动化测试软件不需要输入任何东西就能完成测试,它需要手动的去配置某些参数来触发对应的行为才会完成相应的测试。
JAVA的安装
因为是用java语言进行编写的,所以需要使用到java的运行环境。我们首先要下载java,直接百度JDK下载,找好资源进行安装。因为我已经安装好了,就直接找的截图。
安装完成后,我们要对JDK的环境变量进行配置才能正常使用。
直接在设置中搜索
选择编辑系统环境变量
打开之后是这个样子
在系统变量里打开新建 输入JAVA_ HOME,变量值就填入你的安装路径,完成之后保存。
接下来找到path的环境变量,进行编辑
点击新建
直接在后面加入“%JAVA_HOME%\bin”(这里的意思引用JAVA_HOME的路径所以要注意变量值后面有没有输入\不要重复输入了)
至此,JDK安装完成。
下载并安装完成后,在命令行中输入java -version来查看是否安装完成并且查看版本。
环境安装完成之后,前往burpsuite下载,(https://portswigger.net/burp)首先介绍一下burpsuite的三个版本。
企业版、专业版、社区版,其中企业版和专业版都是要花钱的,社区版是免费的,当然社区版相比其他两种,功能上有所欠缺,最主要的区别是在于web漏洞扫描上面,但是毕竟是免费的,还要什么自行车是吧。
当然我们可以用一些小手段弄到专业版的,但是还是要支持正版的。
打开之后就是这个样子的,当然觉得英文看得不爽可以去找一个汉化包进行一下汉化。
如果拿到的资源是破解后的就可以直接使用,如果是拿到的是未破解的,那么还需要自己手动使用一下破解软件来获得激活码,不过现在绝大多数情况下都是直接给的你破解完成后的。
至于为什么burpsuite的安装介绍为什么这么少还不如JDK多,因为最大的问题就在JDK安装后的环境配置上,很多人在刚学习的时候都是安装完了,就直接打开burpsuite然后发现没法用,所以我们这里着重介绍了一下JDK环境上的配置,而且burpsuite本身的安装也没有什么好讲的。
安装与简介就先介绍到这里,下一篇文章我们再来详细介绍一下burpsuite里的功能以及要注意的地方。
