免費版本：滲透大牛都用來修改包和監視包（被動的）

收費版本：可以主動向web掃描獲取漏洞

不過大家窮都用免費的

?

在學習Burpsuit之前，我先說一下什么是代理，就是代理網絡用戶去取得網絡信息，作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數據流。形象地說：它是網絡信息的中轉站。一般情況下，我們使用瀏覽器直接去連接其他internet 站點取得網絡信息時，必須送出請求信號來得到回答，然后對方再把信息以字節方式傳送回來。代理服務器是介于瀏覽器和web 服務器之間的一臺服務器，有了它之后瀏覽器不是直接到we b 服務器去取回網頁，而是向代理服務器發出請求，請求信號會先送到代理服務器，由代理服務器取回瀏覽器所需要的信息并傳送給你的瀏覽器。而且，大部分代理服務器都具有緩沖功能，就好像一個大的cach e，它有很大的存儲空間，不斷將新取得的數據儲存到本機的存儲空間，如果瀏覽器所請求的數據在它本機的空間已經存在而且是最新的，那么它就不重新從we b 服務器取數據，而直接將存儲器上的數據傳送給用戶，這樣就能顯著提高瀏覽速度和效率。?????
?

一：簡介? ? ??

Burpsuite 是用于攻擊web?應用程序的集成平臺。它包含了許多Burp工具，這些不同的Burp工具通過協同工作，有效的分享信息，支持以某種工具中的信息為基礎供另一種工具使用的方式發起攻擊。這些工具設計了許多接口，以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP 消息，持久性，認證，代理，日志，警報的一個強大的可擴展的框架。它主要用來做安全性滲透測試。其多種功能可以幫我們執行各種任務.請求的攔截和修改,掃描web應用程序漏洞,以暴力破解登陸表單,執行會話令牌等多種的隨機性檢查。
?

二：工具欄介紹

1.Target(目標)——顯示目標目錄結構的的一個功能

2.Proxy（代理）——是一個攔截HTTP/S的代理服務器（抓包），作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔 截，查看，修改在兩個方向上的原始數據流。

3.Spider（爬蟲）——是一個應用智能感應的網絡爬蟲，它能完整的枚舉應用程序的內容和功能。

4.Scanner（掃描器）[僅限專業版]——是一個高級的工具，執行后，它能自動地發現web 應用程序的安全漏洞。

5.Intruder（入侵）——是一個定制的高度可配置的工具，對web應用程序進行自動化攻擊，如：枚舉標識符，收集有用的數??????據，以及使用fuzzing 技術探測常規漏洞。

6.Repeater（中繼器）——是一個靠手動操作來補發單獨的HTTP 請求，并分析應用程序響應的工具。

7.Sequencer（會話）——是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。

8.Decoder（解碼器）——是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。

9.Comparer（對比）——是一個實用的工具，通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。10.Extender(擴展)——可以讓你加載Burp Suite的擴展，使用你自己的或第三方代碼來擴展Burp Suit的功能。
11.Options(設置)——對Burp Suite的一些設置

?

?三：功能

截獲代理– 讓你審查修改瀏覽器和目標應用間的流量。

??爬蟲 – 抓取內容和功能

??Web應用掃描器?–自動化檢測多種類型的漏洞

??Intruder – 提供強大的定制化攻擊發掘漏洞

??Repeater – 篡改并且重發請求

??Sequencer –測試token的隨機性

??能夠保存工作進度，以后再恢復

插件*–??你可以自己寫插件或者使用寫好的插件，插件可以執行復雜的，高度定制化的任務

*表示需要Burp Suite Pro授權。
?

?四：截取代理具體步驟

第一步：終端打開burpsuite?

??第二步：建立代理監聽(Proxy–> Options功能下)。我的設置為了默認值localhost (127.0.0.1)，端口為8080。

? ?第三步：到瀏覽器的網絡連接設置處手動配置代理設置。

記住，軟件設置的端口和IP一定要和瀏覽器一致。

?

?

第四步：現在可以訪問我們要測試的應用，然后看到發送的所有請求了。到Proxy –> Intercept標簽頁，然后確保截獲功能開啟(“Intercept is on”)，然后就能看到所有的請求了。

?

總結

以上是生活随笔為你收集整理的Burpsuite Web渗透-扫描工具（中间攻击，渗透大牛都用来修改包和监视包）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。