本人在使用时BurpSuite v2023.12时,查阅网上资料,发现网上大多是旧版,而旧版跟新版在界面上有些许调整。故记录BurpSuite v2023.12使用教程,用于后续本人回顾。
Autorize工具安装
Extensions→BApp Store→Autorize→Download Jypthon
Jython下载官网,点击Jython Installer。
安装Jython
配置Jython路径
Setting→Extensions→Python environment
刷新列表
右下角有个refreshing…代表加载中,加载完后就会消失。
配置成功
点击Install安装
启动BurpSuite自带浏览器
点击Proxy的Intercept,点击Open browser。(使用BurpSuite自带浏览器用于拦截接口)
BurpSuite浏览器界面
在任务栏你就会看到一个全蓝的谷歌浏览器
打开测试的页面
在BurpSuite自带浏览器打开登录你要测试的系统,打开相应的页面。这里以测试查询按钮为例,我打开到仓库资料后,找到要测试的查询接口。(请先看下一步再点你要测的接口)
注:请使用55环境或81环境进行测试,非特殊情况不要使用生产环境进行垂直越权
打开拦截
我们返回BurpSuite,填写无权限token,点击Autorize is off。
点击后,Autorize is off变成Autorize is on,然后再返回BurpSuite自带的浏览器点击要测试的按钮
拦截信息展示
Intercept返回了我们要拦截的信息,通过Authz. Status和Unauth. Status判断是否存在渗透的可能。
这里发现替换token后,报黄色证明有可能存在垂直越权,右键send original request to repeater,去到Repeater进一步调试,证据该接口垂直越权是否测试通过。
如图所示,切换token仍能访问权限存在垂直越权风险。
如仍返回数据查询结果,需排查系统是否开启垂直越权等因素,排查后都没问题依然能查询到结果,证明该接口存在垂直越权风险,需提BUG给开发人员尽快修复。
附(常见问题解决方法):
2023版BurpSuite接口返回结果中文显示乱码解决方法
