BurpSuite简介及代理设置

一、Burpsuite简介

BurpSuite是一个集成化的渗透测试工具,集合了多种渗透测试组件,帮助我们快速完成应用的渗透测试和攻击检测。

BurpSuite的执行程序是可执行的jar文件,官网有免费版及收费的专业版,两者区别在于免费版无法使用很多高级工具,如:

1、Burp Scanner;

2、工作空间的保存和恢复;

3、拓展工具,如Target Analyzer,Content Discovery和Task Scheduler。

二、启动BurpSuite

双击burpsuite.jar启动软件,默认分配内存64M。我们在持续测试过程,可能会有成千上万个请求通过Burp Suite,这样就会导致内存不足而奔溃。因此建议我们一般启动时给它分配指定的内存大小。如下

               java -jar -Xmx1024M /your_ burpsuite_path/burpsuite.jar         

注:Burp Suite是不支持IPv6地址进行数据通信的,这时在cmd控制台里就会抛出如下异常:

                         java.net.SocketException: Permission denied                        

当遇上以上问题时,可按如下处理

    java -jar -Xmx2048M-Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar   

三、Burp Suite代理设置

BurpSuite代理工具是以拦截代理的方式,拦截http/https协议的流量,以中间介的身份对客户端请求数据、服务端返回做各种处理,以方便检测通讯接口的安全性。

3.1   代理开启

BurpSuite开启后,默认已经创建了代理地址及端口127.0.0.1:8080 。在【Proxy】->【Options】->【Proxy Listeners】,如下图所示:

 BurpSuite简介及代理设置_第1张图片

PS:通过【Add】可以添加新的代理地址和端口,PC/移动端均可使用进行代理。在【Running】处记得要勾选开启

3.2   设置浏览器代理(以Firefox为例)

              1、打开Firefox,点击【选项】--【高级】--【网络】--【设置】

              选择【手动配置代理】,填写你的代理IP及端口,点击【确认】,如下图

BurpSuite简介及代理设置_第2张图片


2、设置完成后,在浏览器输入http://burp 查看访问burp的欢迎页,如下图

BurpSuite简介及代理设置_第3张图片


通过点击【CA Certificate】可以下载der证书,或从【Proxy】-【Options】里下载CA证书。其他的浏览器的操作与Firefox相似。

3、安装CA证书

安装CA证书的主要目的在于可通过代理拦截HTTPS协议的报文。

浏览器导入CA证书,点击【设置】--【高级】--【证书】--【查看证书】--【导入】,如下图

BurpSuite简介及代理设置_第4张图片


导入证书后,整个PC代理的过程完毕。

PS:burpsuite的证书名称是 PortSwiggerCA。

4、Burpsuite移动端代理拦截HTTPS数据包

凡是拦截HTTPS的数据包均需要在客户端上安装证书。手机设置代理后,在浏览器访问http://burp 后下载CA 证书安装,IOS系统可以直接安装,而Android系统的手机不可以,原因是Android支持的是以 .crt 或 .cer 扩展名的文件形式保存的 DER 编码 X.509 证书,直接下载下来的der证书无法安装。

       4.1   Android安装burpsuite--CA证书

       从Firefox的【证书】里导出PortSwiggerCA.crt证书来。然后通过USB导入手机进行安装。

你可能感兴趣的:(安全测试,测试工具)