BurpSuite介紹
BurpSuite是用于攻擊web應用程式的集合平台。它包含了許多工具,并為這些工具設計了很多接口,以促進加快攻擊應用程式的過程。所有的工具都共享一個能處理并顯示HTTP消息,持久性,認證,代理,日志,警報的一個強大的可擴充的架構
BurpSuite安裝
我安裝的版本為1.7.37(破解版本),由于BurpSuite基于Java寫的,是以需要先安裝Java的環境,Java安裝教程和BurpSuite安裝教程都可以在百度進行搜尋檢視,這裡就不示範了,破解過程在安裝的過程一般都會有,但是有錢請支援正版、請支援正版、請支援正版。。。
今天學習第一個子產品
Target子產品
Target子產品主要的是檢視網站的目錄結構,就相當于某個網站的樹形結構圖一樣
示範
這裡使用的網站是自己搭建的網站,使用的浏覽器為火狐浏覽器的最新版本
第一步:先開啟我們的火狐浏覽器配置一下代理(代理子產品在後面會學到),這裡使用的是本地代理,是以我們輸入的IP為127.0.0.1,端口是我們在BurpSuite裡面設定的端口,這裡使用預設的8080端口
第二步:啟動我們的BurpSuite,這次我們示範我标出的子產品
經過上面兩步我們就可以通路我們的網站就可以出現樹形目錄了
Site map區域是我們的站點地圖,這個方式顯示出的網站目錄并不是整個網站的全部目錄,這隻是BurpSuite被動掃描網站的一部分目錄而已,全部目錄還需要爬蟲去爬取
Scope區域是我們標明的範圍,裡面會存放這我們的選取要進行掃描的網站
Contents區域是記錄每個網頁的請求和響應部分
Issues區域是這個掃描到的這個網站可能存在的一些安全性問題
在這裡我們把我們本地的網站作為目标,隻檢視該網站,我們可以選中該網站,右鍵把它加到scope裡面去
我們可以看到scope區域就會有我們標明的網站了,上面的是我們標明的網站,下面是我們不包含的網站,例如我在這裡添加一個百度,它就不會顯示百度網站的内容了
我們點選紅色箭頭的Filter的地方,會出現一個菜單,我們在選中隻顯示在scope中的清單
然後點選其他地方,Filter的菜單就會收起來,同時可以看到Site map的區域就隻有我們選中的那個網站的樹形結構,這樣可以過濾到很多我們不需要或不想見到的網站,可以直覺看到某一個網站的結構
自己選擇的路,爬也要爬完