burp suite 是一款功能强大的数据抓取工具,通过该软件,用户可以扫描web应用程序的执行数据,并通过分析功能找到web可能存在漏洞的端口,从而提醒用户及时修复程序漏洞,保证软件的安全性能,本软件由多个组件组合而成,每一个组件都代表一个功能,您可以根据扫描的类型调取对应的工具进行数据扫描,支持数据内容抓取、审核浏览器数据、测试系统安全、更改程序数据包等操作,让您可以从数据代码中分析出所需的web数据,需要的朋友可以下载这款 Burp Suite 2017试试!
软件功能
Repeater:是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。
Target功能目标工具包含了SiteMap,用你的目标应用程序的详细信息。
Sequencer:是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder:是一个进行手动执行或对应用程序数据者智能解码编码的工具。
它可以让你定义哪些对象在范围上为你目前的工作,也可以让你手动测试漏洞的过程。
Comparer:是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
软件特色
每个定义的位置中有不同的payload组
攻击会同步迭代所有的payload组
Burp Suite 2017它会尝试连接所有之前找到的URL
Burp Suite 2017只会对scope中的域名进行测试
请求总数应该是position数量和payload数量的乘积。
可以在HTML响应中找到精确的URL地址
它会重复payload并且一次把所有相同的payload放入指定的位置中
使用方法
显示的是尝试的每个payload和响应的详情
你可以设置范围,选择是连续的数字还是随机数字
点击右边的“Add”,如果需要的话可以选择多个位置:
切换到Proxy-> HTTP History,右键要测试的请求,点击“Send To Intruder”:
你可以手动添加域名,修改,或者添加需要配出的URL
使用说明
Burp Comparer在Burp Suite中主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。使用中的场景可能是:
你可以切换到Proxy –> HTTP History标签页
1.枚举用户名过程中,对比分析登陆成功和失败时,服务器端反馈结果的区别。
2.使用 Intruder 进行攻击时,对于不同的服务器端响应,可以很快的分析出两次响应的区别在哪里。
3.进行SQL注入的盲注测试时,比较两次响应消息的差异
4、扩展插件可以在 Burp 的 HTTP 编辑器中渲染或编辑 HTTP 消息。
5、开发者通过此接口可以灵活的获取请求或响应里的参数。
6、扩展同样可以通过注册IScannerCheck接口或者是调用
∨ 展开