渗透利器—BurpSuite基本介绍

一、BurpSuite简介

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。本文主要介绍它的以下特点：

1. Target(目标)——显示目标目录结构的的一个功能
2. Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。
3. Spider(蜘蛛)——应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。
4. Scanner(扫描器)——高级工具，执行后，它能自动地发现web 应用程序的安全漏洞。
5. Intruder(入侵)——一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。
6. Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具。
7. Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
8. Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
9. Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
10. Extender(扩展)——可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能。
11. Options(设置)——对Burp Suite的一些设置
12. Alerts(警告)——Burp Suite在运行过程中发生的一写错误
    

二、BurpSuite配置及使用

由于BurpSuite是用java开发的所以要想使用这个工具、需先安装JDK、在安装好JDK之后、就要配置浏览器代理

三、使用BurpSuite拦截访问信息

我们在浏览器里随便访问一个网页时、请求或响应的数据就会通过BurpSuite、我们可以在工具上进行抓包与改包、还可以让它通过或者不通过。

四、插件的安装

BurpSuite给出了两种插件安装方法：

• 第一种是在线安装：通过BApp Store安装插件
  找到需要安装的插件，点击install，安装完成后 右上角会出现新安装的模块
  点击Extensions模块，此时列表中已经列出安装的插件，同时在下边显示插件的基本信息
  点击Add按钮，可安装自定义插件
  ![在这里插入图片描述](https://img-blog.****img.cn/20200714164358301.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2RhMTMxMjIzMTg4NjE=,size_16,color_FFFFFF,t_70

• 第二种是本地安装：添加本地环境中的插件