BurpSuite使用快速上手

BurpSuite简介

Burp Suite Community Edition是一套功能有限的用于探索web安全性的手动工具。具备代理HTTPS流量,编辑和重复请求,解码数据等功能。

社区版下载地址:

https://portswigger.net/burp/communitydownload

BurpSuite代理设置

使用内置浏览器

最新版本(v2021.3.1)的BurpSuite内置了一个设置好代理的chromium浏览器,所以可谓是开箱即用,不需要再做代理配置。

image.png

点击这个open browser即可使用已经设置好代理的内置浏览器。

给自己的浏览器设置代理

参考:https://www.jianshu.com/p/9a0f964ce4f8

BurpSuite报文拦截

打开报文拦截

image.png

修改请求报文

image.png

拦截到请求或相应之后可以进行进一步处理。forward-发放行,drop-丢弃,action里面还有其他的很多操作。

下面的文本框可以直接对报文内容进行编辑。

拦截选项设置

默认的配置会拦截非文件类的所有的请求和相应,在options里面可以配置规则,来拦截指定的请求或相应。

image.png

如上图,默认的放行了gif/jpg等资源文件的请求,最后一行新加了一个and条件,也就是url匹配baidu.com才会被拦截。

BurpSuite报文自动修改

在options中有一个match and replace可以对报文进行自动修改,支持正则表达式:

image.png

比如默认配置了一个把request header中的user-agent替换模拟IOS请求的替换:

image.png

然后我们发送请求,到http history中查看:

在下方最左边的一栏把origin-request改成auto-modified request,可以看到自动修改过的报文:

image.png

你可能感兴趣的:(BurpSuite使用快速上手)