当前位置: 首页 > news >正文

使用 Burpsuite 测试的常用操作(一)

大家好啊,我是大田。

今天分享一下 Burpsuite 在工作中常用操作,本文先说说其中两个操作。

一、了解一下 Burpsuite 做什么

1、Burpsuite 是一个黑客工具、安全测试工具、半自动化抓包、篡改信息。

2、他能做:代理工具 Proxy 、爬虫 Spider、暴力破解 Intruder、漏洞扫描 Scanner、重放请求 Repeater、附属工具 decode comparer、扩展定制 Extender。

3、测试人员最常用的功能就是:

假如要攻击服务器端,此时我们要篡改请求;

假如要攻击客户端,此时我们要篡改响应。

二、Burpsuite 运行需要的环境

1、JDK 配置安装、版本选择

方式1:Burpsuite 1.7.* —— java 8(本文用这个版本)

方式2:Burpsuite 2021 —— java 11

2、专业版本需要注册机,社区版本不需要

三、本文中 2 个常用操作

1、创建快捷启动方式

打开注册机

复制这段命令,写在记事本中,修改为 .bat 后缀名的批处理文件 runburpsuite.bat

为了不出现 DOS 黑窗口,创建一个以 vbs 后缀的文件 startburp.vbs,文件内容如下

Set ws = CreateObject("Wscript.Shell")ws.run "这里填写 runburpsuite.bat 的绝对路径".vbhide

鼠标右键将 startburp.vbs 发送桌面快捷方式,可以在桌面直接启动。

2、Burpsuite 爬行

1)新建爬行,编辑详情 scan details

2)爬行配置 scan configuration

这里一般是不需要做的

但是可以配置 user-agent

配置 user-agent 具体步骤如下:

f12,访问百度后,找出标头中的 user-agent 字段值

设置中配置,按下图指示做即可

3)应用登录 Application login

爬行中可以不设置这里的,了解一下就行。假如被测系统需要验证码,那么可以忽略这个功能。

4)资源池

一般不在上图的 Resource 中设置,因为new scan 右边有个小齿轮设置里会有默认的配置,如下图

点击设置新增后,发现这里有默认的资源池设置,我一般不做修改

5)保存 new scan 运行本次测试

new scan 里面配置好了之后,点击保存,burpsuite 就会运行了,如图所示。

例子 1:爬行演示

例子 2:爬行 + 审计演示,出现问题点圆框,右侧框是问题事件,展示这个任务下有多少问题点,问题会暴露出来。

出现 high medium这两类的问题点时,此时应该提 bug 了

面板中,我一般会将 high、medium、certain、firm 类的问题展示出来,如下图圈出来的

6)导出本次测试结果

下图可以选中某个任务(如任务 5)后,可以多选,右键导出本次运行结果,选择 html 的报告类型即可,一路 next,最后要选择要保存到的地址就 ok 了。

除了导出结果还可以右键选择一个问题高亮,提醒自己要和开发沟通处理的。

下面就是导出的报告

全文完,如果喜欢,就点个赞或者在看吧 ,转发、评论是对大田创作的最大支持~

我是大田,持续聚焦分享软件测试真实工作经验、职场经验、面试经验

相关文章:

  • 网站运维公司有哪些/比较好的网络推广平台
  • 江宁网站建设/国内seo工具
  • 广州公司网站建设/企业网站优化的三层含义
  • 有没有专门搞网站上线的公司/百度推广账户优化
  • 遵义网站建设遵义/站长之家网站介绍
  • 购物网站建设/太原自动seo
  • 分分钟你也能写一个自己需要的 Chrome 扩展程序
  • 基于SpringBoot使用mybatis-generator访问MariaDB
  • 【Kotlin】类的继承 ② ( 使用 is 运算符进行类型检测 | 使用 as 运算符进行类型转换 | 智能类型转换 | Any 超类 )
  • Elasticsearch高级查询—— 匹配查询文档
  • 2023寒假算法集训营1
  • Leetcode.87 扰乱字符串
  • 帮助台技术员协助的自助服务
  • 2023年中职网络安全技能竞赛网页渗透(注入版)
  • 力扣sql基础篇(十一)
  • Solidity 中的数学(第 1 部分:数字)
  • 会话跟踪技术:Cookie、Session和Token
  • JavaScript JSON序列化和反序列化