【安全测试】使用Burp Suite做安全性渗透测试

1. 安装配置

不细讲，官网https://portswigger.net/burp简单了解下载社区版使用即可。

2. 通过一个例子来看一下如何做爆破测试

如在某在线教育网站中任意获取一个课程链接：

我们只需要拿到51978这个参数使用暴力破解的方式从00000-99999都尝试访问一遍，就可以获取到课程页面的优惠券等信息，从而可以单独把优惠券信息摘出来，进行使用。

3. 如何通过上面的例子获取到想要的如优惠券id等信息

1. 通过Burp Suite的抓包功能获取上面需要的课程页面请求
   
2. 在上面抓到的网络请求上右键发送到intruder，用来进行暴力破解
   
3. 进入intruder页面，点击clear，清除默认选中的参数，然后双击选中我们需要的课程id，点击add选中爆破参数
   
   
4. 进入payloads页面，选择payload type为Brute forcer，参数配置成0123456789，长度配置成最短是5，最长也是5（表示从0-9这10个数字中任意抽选5位数来匹配5位数的课程id），设置完之后点击Start attack。
   
5. 上一步操作的结果页面可以返回包长度从大到小排列，很有可能是有优惠券信息返回的课程，进入查看内容就可以了，访问对应的课程页面即可看到有返回优惠券信息。
   
6. 至此为止，我们应该已经大致熟悉了如何使用Burp Suite来进行抓包和爆破的流程，后面的操作可能会被不怀好意的人拿来进行一些不正当的活动从而对别人的网站造成损失，因此我们到这里就结束不再讲了。