概述
一、Burpsuite简介
BurpSuite是一个集成化的渗透测试工具,集合了多种渗透测试组件,帮助我们快速完成应用的渗透测试和攻击检测。
BurpSuite的执行程序是可执行的jar文件,官网有免费版及收费的专业版,两者区别在于免费版无法使用很多高级工具,如:
1、Burp Scanner;
2、工作空间的保存和恢复;
3、拓展工具,如Target Analyzer,Content Discovery和Task Scheduler。
二、启动BurpSuite
双击burpsuite.jar启动软件,默认分配内存64M。我们在持续测试过程,可能会有成千上万个请求通过Burp Suite,这样就会导致内存不足而奔溃。因此建议我们一般启动时给它分配指定的内存大小。如下
java -jar -Xmx1024M /your_ burpsuite_path/burpsuite.jar
注:Burp Suite是不支持IPv6地址进行数据通信的,这时在cmd控制台里就会抛出如下异常:
java.net.SocketException: Permission denied
当遇上以上问题时,可按如下处理
java -jar -Xmx2048M-Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar
三、Burp Suite代理设置
BurpSuite代理工具是以拦截代理的方式,拦截http/https协议的流量,以中间介的身份对客户端请求数据、服务端返回做各种处理,以方便检测通讯接口的安全性。
3.1 代理开启
BurpSuite开启后,默认已经创建了代理地址及端口127.0.0.1:8080 。在【Proxy】->【Options】->【Proxy Listeners】,如下图所示:
PS:通过【Add】可以添加新的代理地址和端口,PC/移动端均可使用进行代理。在【Running】处记得要勾选开启。
3.2 设置浏览器代理(以Firefox为例)
1、打开Firefox,点击【选项】--【高级】--【网络】--【设置】
选择【手动配置代理】,填写你的代理IP及端口,点击【确认】,如下图
2、设置完成后,在浏览器输入http://burp 查看访问burp的欢迎页,如下图
通过点击【CA Certificate】可以下载der证书,或从【Proxy】-【Options】里下载CA证书。其他的浏览器的操作与Firefox相似。
3、安装CA证书
安装CA证书的主要目的在于可通过代理拦截HTTPS协议的报文。
浏览器导入CA证书,点击【设置】--【高级】--【证书】--【查看证书】--【导入】,如下图
导入证书后,整个PC代理的过程完毕。
PS:burpsuite的证书名称是 PortSwiggerCA。
4、Burpsuite移动端代理拦截HTTPS数据包
凡是拦截HTTPS的数据包均需要在客户端上安装证书。手机设置代理后,在浏览器访问http://burp 后下载CA 证书安装,IOS系统可以直接安装,而Android系统的手机不可以,原因是Android支持的是以 .crt 或 .cer 扩展名的文件形式保存的 DER 编码 X.509 证书,直接下载下来的der证书无法安装。
4.1 Android安装burpsuite--CA证书
从Firefox的【证书】里导出PortSwiggerCA.crt证书来。然后通过USB导入手机进行安装。
最后
以上就是粗暴身影为你收集整理的BurpSuite简介及代理设置一、Burpsuite简介二、启动BurpSuite三、Burp Suite代理设置的全部内容,希望文章能够帮你解决BurpSuite简介及代理设置一、Burpsuite简介二、启动BurpSuite三、Burp Suite代理设置所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复