burp suite 2022下载及安装使用教程
第一章 概述
当我们在对接钉钉上架的时候,需要提供安全性认证。钉钉官网安全性文档地址如下
钉钉安全性认证本文介绍了安全测试报告相关内容,包括常见问题、安全测试用例、安全测试结果等。https://open.dingtalk.com/document/operation-specification/Security-certification
安全测试用例
准备工具
抓包改包工具:这里我们只讲Burp Suite,打开下面的地址,网速比较慢。
| Tools |
Editions |
Download |
|---|---|---|
| Burp Suite |
Community |
https://portswigger.net/burp/ |
| Charles |
— |
— |
| Fiddler |
— |
— |
第二章 下载
1、打开网址后,页面如下图所示
2、我们点击【Burp Suite Community Edition】 ,然后打开后,页面如下。
3、我们不需要输入email,直接点击【Go straight to downloads】下载就行。这时候比较慢,大家耐心等待。
4、然后就会跳转到下载的页面,直接什么都不用选择,直接点击【DOWNLOAD】就行。
5、如果大家不想下载,我这里提供一个天翼云盘的下载地址。
https://cloud.189.cn/web/share?code=NVJRRfNf6z6b(访问码:2khw)6、直接在浏览器输入,第4步的所有地址,建议直接复制粘贴,把两个中文括号都复制上,然后在浏览器输入回车就能打开了。
7、然后直接下载就行。
第三章 安装
1、安装很简单,这里就不多描述了。因为我们下载的是社区版,不需要特殊的功能。如果你是用于其它功能,那不要看本篇文章,这个文章只适合钉钉上架用到的功能。所以这个社区版就不需要激活等一系列复杂的操作。
第四章 使用
1、双击桌面上的【Burp Suite Community Edition】。
2、直接点击【Next】。
3、直接点击【Start Burp】。
4、打开后就是这个界面。
5、钉钉需要的教程我这里直接把官网的教程和截图复制过来,大家就不用点过去查看了,后面我把官网的地址也贴出来。
第五章 burpsuite使用&导入证书
设置代理
如下图所示设置代理,端口可自定义。
PC端:
设置burpsuite代理监听地址及端口
默认监听127.0.0.1的8080端口,根据实际测试的需求可以新增或修改监听地址或者端口。
移动端,以iOS为例:
填写burpsuite的代理地址及端口。
WIFI > HTTP代理 > 配置代理
导入证书
手机端在浏览器内访问代理地址http://ip:port下载并导入证书。
Tips:在iOS下,有两处需要设置信任。
-
设置 > 通用 > 关于本机 > 证书信任设置
-
设置 > 通用 > 描述文件与设备管理
拦截数据包&修改数据包
-
拦截数据包并发送到Repeater窗口。
-
在Repeater窗口修改数据包并重放。
-
在左侧窗口直接修改请求包内容,然后通过
Go按钮发送该请求;在右侧窗口可查看返回的内容。
第六章 基础英文翻译
Burp Suite 是通过拦截代理的方式。
1、Target
(目标)——显示目标目录结构的的一个功能。
2、Proxy
(代理)——拦截。Burp Proxy是利用Burp开展测试流程的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端与服务端之间传输的数据。
3、HTTP/S
http/s的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
4、Spider
(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
5、Decoder
Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
6、Scanner
(扫描器)——高级工具,执行后,它能自动地发现web应用程序的安全漏洞。
主要用于自动检测web系统的各种漏洞。
7、Intruder
(入侵)--- 个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing技术探测常规漏洞。这是一个定制的高度可配置的工具。可以对web应用程序进行自动化的攻击,如通过标识符枚举用户名、ID和账号密码,模糊测试、sql注入、跨站、目录遍历等等。
8、Repeater
(中继器)----个靠手动操作来触发单独的HTTP请求,并分析应用程序响应的工具。是一个手动修改、补发个别http请求,并分析它们的响应的工具。它最大的用途就是能和其他bp工具结合起来用可以将目标站点地图、proxy的浏览记录、burp Intruder的攻击结果,发送到Reapeater上,并手动调整。
9、Comparer
(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。
10、Sequencer
(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。用于分析数据样本随机性质量的工具,可以用它测试应用程序的会话令牌、密码重置令牌是否可预测等场景。有信息截取、手动加载、选项分析三部分。
11、Extender
(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suite的功能。
12、Options
(设置)——对Burp Suite的设置。