技术文章

  Burp Suite大家可能都用过，但大家可能不知道它的所有功能，也可能不知道你在用。

  Burp Suite 是用于攻击web 应用程序集成平台包含许多工具。Burp Suite为加快攻击应用程序的过程，为这些工具设计了许多接口。所有工具共享请求，并能处理相应的要求HTTP 新闻、持久性、认证、日志、警报。

  burp suite下载可以在官网下载。除了这个社区版，还有专业版，但是需要付费。但是会给你一个月的试用期。初学者想用专业版可以在网上找到破解版。 或者买正版。

  BP对于初学者来说，掌握几个常用的模块就足够了，比如：

  截获– 让您检查和修改浏览器和目标应用之间的流量。

  爬虫 – 抓取内容和功能

  Web应用扫描器* –各种类型的漏洞自动检测

  Intruder – 为发掘漏洞提供强大的定制攻击

  Repeater – 篡改并重发请求

  Sequencer –token的随机性

  工作进度可以保存，以后可以恢复

  插件*– 可以自己写插件或者用写好的插件，可以执行复杂高度定制的任务。

  *表示需要Burp Suite Pro授权。

  今天我们就和大家简单分享一下BP中，Proxy如何抓取模块的包。

  首先，让我们了解浏览器和服务器通信的简单过程。(动图慢，请仔细观看)

  然后，看看使用情况BP功能后(以下为动图，请仔细观看)

  Proxy模块作为BurpSuite拦截的核心功能HTTP/S作为浏览器和目标应用程序之间的中间人，服务器允许您拦截、查看和修改两个方向的原始数据流。

  具体步骤：

  1、抓取http数据包设置(以Firefox以浏览器为例)

  菜单-->选项-->常规-->网络设置设置à手动配置 à写入ip及端口。

  到此burp实现了简单的抓包功能。这里只能抓到http想抓取的数据包https还需要安装数据包浏览器CA证书。

  默认情况下，Burp Proxy只拦截请求信息，如普通文件请求css、js、图片不会被拦截。

  burpsuite入门难：入门难，参数复杂，但一旦掌握了它的使用方法，在日常工作中肯定会如虎添翼。