第一章 Burp Suite 安装和环境配置
Burp Suite是一個集成化的滲透測試工具,它集合了多種滲透測試組件,使我們自動化地或手工地能更好的完成對web應用的滲透測試和攻擊。在滲透測試中,我們使用Burp Suite將使得測試工作變得更加容易和方便,即使在不需要嫻熟的技巧的情況下,只有我們熟悉Burp Suite的使用,也使得滲透測試工作變得輕松和高效。
Burp Suite是由Java語言編寫而成,而Java自身的跨平臺性,使得軟件的學習和使用更加方便。Burp Suite不像其他的自動化測試工具,它需要你手工的去配置一些參數,觸發一些自動化流程,然后它才會開始工作。
Burp Suite可執行程序是java文件類型的jar文件,免費版的可以從免費版下載地址進行下載。免費版的Burp Suite會有許多限制,很多的高級工具無法使用,如果您想使用更多的高級功能,需要付費購買專業版。專業版與免費版的主要區別有
本章主要講述Burp Suite的基本配置,包含如下內容:
- 如何從命令行啟動Burp Suite
- 如何設置JVM內存 大小
- IPv6問題調試
如何從命令行啟動Burp Suite
Burp Suite是一個無需安裝軟件,下載完成后,直接從命令行啟用即可。但Burp Suite是用Java語言開發的,運行時依賴于JRE,需要提前Java可運行環境。如果沒有配置Java環境或者不知道如何配置的童鞋請參考win7電腦上的Java環境配置?配置完Java環境之后,首先驗證Java配置是否正確,如果輸入java -version 出現下圖的結果,證明配置正確且已完成。?
這時,你只要在cmd里執行java -jar /your_burpsuite_path/burpSuite.jar即可啟動Burp Suite,或者,你將Burp Suite的jar放入class_path目錄下,直接執行java -jar burpSuite.jar也可以啟動。
==注意:your_burpsuite_path為你Burp Suite所在路徑,burpSuite.jar文件名必須跟你下載的jar文件名稱一致==
如何設置JVM內存 大小
如果Java可運行環境配置正確的話,當你雙擊burpSuite.jar即可啟動軟件,這時,Burp Suite自己會自動分配最大的可用內存,具體實際分配了多少內存,默認一般為64M。當我們在滲透測試過程,如果有成千上萬個請求通過Burp Suite,這時就可能會導致Burp Suite因內存不足而崩潰,從而會丟失滲透測試過程中的相關數據,這是我們不希望看到的。因此,當我們啟動Burp Suite時,通常會指定它使用的內存大小。 一般來說,我們通常會分配2G的內存供Burp Suite使用,如果你的電腦內存足夠,可以分配4G;如果你的電腦內存足夠小,你也可以分配128M。當你給Burp Suite分配足夠多的內存時,它能做的工作也會更多。指定Burp Suite占用內存大小的具體配置方法是在啟動腳本里添加如下命令行參數: 假設啟動腳本的名稱為burp_suite_start.bat,則該bat腳本的內容為
java -jar -Xmx2048M /your_burpsuite_path/burpsuite.jar其中參數-Xmx指定JVM可用的最大內存,單位可以是M,也可以是G,如果是G為單位的話,則腳本內容為:
java -jar -Xmx2G /your_burpsuite_path/burpsuite.jar更多關于JVM性能調優的知識請閱讀?Oracle JVM Tuning
IPv6問題調試
Burp Suite是不支持IPv6地址進行數據通信的,這時在cmd控制臺里就會拋出如下異常
java.net.SocketException: Permission denied同時,瀏覽器訪問時,也會出現異常
Burp proxy error: Permission denied: connect當出現如上問題時,我們需要修改啟動腳本,添加對IPv4的指定后,重啟Burp Suite即可。
java -jar -Xmx2048M -Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar通過 -Djava.net.preferIPv4Stack=true參數的設置,告訴Java運行環境,使用IPv4協議棧進行數據通信,IPv6協議將會被禁止使用。 這個錯誤最常見于64位的windows操作系統上,使用了32位的JDK
轉載于:https://www.cnblogs.com/guanfuchang/p/6978859.html
總結
以上是生活随笔為你收集整理的第一章 Burp Suite 安装和环境配置的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [SDOI2016]储能表
- 下一篇: Ajax--serialize应用表单数