BurpSuite基础教程第一发：burpsuite基本介绍及环

2017-08-30 本文已影响92人 Jewel591

论坛转悠突然发现的教程，因为写的太好了，所以转过来让更多人看到。
尊重原作者！原帖请查看：点击查看

一、BurpSuite简介

Burp Suite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起，以支持整个测试过程中，从最初的映射和应用程序的攻击面分析，到发现和利用安全漏洞。
burpsuite结合先进的手工技术与先进的自动化，使你的工作更快，更有效，更有趣。
在安全人员常用工具表（http://sectools.org/）中，burpsuite排在第13位，且排名在不断上升，由此可见它在安全人员手中的重要性。
burpsuite的模块几乎包含整个安全测试过程，从最初对目标程序的信息采集，到漏洞扫描及其利用，多模块间高融合的配合，使得安全测试的过程更加高效。

1.1 主要模块：

1. Target(目标)——显示目标目录结构的的一个功能
1. Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。
1. Spider(蜘蛛)——应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。
1. Scanner(扫描器)——高级工具，执行后，它能自动地发现web 应用程序的安全漏洞。
1. Intruder(入侵)——一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。
1. Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具。
1. Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
1. Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
1. Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
1. Extender(扩展)——可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的
1. Options(设置)——对Burp Suite的一些
1. Alerts(警告)——Burp Suite在运行过程中发生的一写错误

二、浏览器代理的设置

什么叫浏览器代理？

提供代理服务的电脑系统或其它类型的网络终端称为代理服务器（英文：Proxy Server）。一个完整的代理请求过程为：客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接、或者获得目标服务器的指定资源。而所谓的浏览器代理就是给浏览器指定一个代理服务器，浏览器的所有请求都会经过这个代理服务器。
如何设置浏览器代理？