使用 Burpsuite 测试的常用操作(一)

news2024/12/25 2:15:10

大家好啊,我是大田。

今天分享一下 Burpsuite 在工作中常用操作,本文先说说其中两个操作。

一、了解一下 Burpsuite 做什么

1、Burpsuite 是一个黑客工具、安全测试工具、半自动化抓包、篡改信息。

2、他能做:代理工具 Proxy 、爬虫 Spider、暴力破解 Intruder、漏洞扫描 Scanner、重放请求 Repeater、附属工具 decode comparer、扩展定制 Extender。

3、测试人员最常用的功能就是:

假如要攻击服务器端,此时我们要篡改请求;

假如要攻击客户端,此时我们要篡改响应。

二、Burpsuite 运行需要的环境

1、JDK 配置安装、版本选择

方式1:Burpsuite 1.7.* —— java 8(本文用这个版本)

方式2:Burpsuite 2021 —— java 11

2、专业版本需要注册机,社区版本不需要

三、本文中 2 个常用操作

1、创建快捷启动方式

打开注册机

复制这段命令,写在记事本中,修改为 .bat 后缀名的批处理文件 runburpsuite.bat

为了不出现 DOS 黑窗口,创建一个以 vbs 后缀的文件 startburp.vbs,文件内容如下

Set ws = CreateObject("Wscript.Shell")ws.run "这里填写 runburpsuite.bat 的绝对路径".vbhide

鼠标右键将 startburp.vbs 发送桌面快捷方式,可以在桌面直接启动。

2、Burpsuite 爬行

1)新建爬行,编辑详情 scan details

2)爬行配置 scan configuration

这里一般是不需要做的

但是可以配置 user-agent

配置 user-agent 具体步骤如下:

f12,访问百度后,找出标头中的 user-agent 字段值

设置中配置,按下图指示做即可

3)应用登录 Application login

爬行中可以不设置这里的,了解一下就行。假如被测系统需要验证码,那么可以忽略这个功能。

4)资源池

一般不在上图的 Resource 中设置,因为new scan 右边有个小齿轮设置里会有默认的配置,如下图

点击设置新增后,发现这里有默认的资源池设置,我一般不做修改

5)保存 new scan 运行本次测试

new scan 里面配置好了之后,点击保存,burpsuite 就会运行了,如图所示。

例子 1:爬行演示

例子 2:爬行 + 审计演示,出现问题点圆框,右侧框是问题事件,展示这个任务下有多少问题点,问题会暴露出来。

出现 high medium这两类的问题点时,此时应该提 bug 了

面板中,我一般会将 high、medium、certain、firm 类的问题展示出来,如下图圈出来的

6)导出本次测试结果

下图可以选中某个任务(如任务 5)后,可以多选,右键导出本次运行结果,选择 html 的报告类型即可,一路 next,最后要选择要保存到的地址就 ok 了。

除了导出结果还可以右键选择一个问题高亮,提醒自己要和开发沟通处理的。

下面就是导出的报告

全文完,如果喜欢,就点个赞或者在看吧 ,转发、评论是对大田创作的最大支持~

我是大田,持续聚焦分享软件测试真实工作经验、职场经验、面试经验

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/170947.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

python与excel

一、安装anaconda(阿里云镜像库) pip config list -v#pip在哪里寻找pip.conf文件 阿里云镜像: 1、安装完成,命令行输入:conda config生成.condarc文件(运行期配置文件) 2、如果原本的源中的源地址是 https&#xff0…

手撕Pytorch源码#2.Dataset类 part2

写在前面手撕Pytorch源码系列目的:通过手撕源码复习了解高级python语法熟悉对pytorch框架的掌握在每一类完成源码分析后,会与常规深度学习训练脚本进行对照本系列预计先手撕python层源码,再进一步手撕c源码版本信息python:3.6.13p…

十四.文件操作

目录 一.为什么使用文件 二.什么是文件 1.程序文件和数据文件 2.文件名 三.文件的打开和关闭 1.文件指针 2.fopen函数和fclose函数 四.文件的顺序读写 1.顺序读写函数一览表 2.主要输入输出函数介绍 (1)字符输出函数futc (2&…

Python采集*瓣电影影评并实现可视化分析

前言 嗨喽,大家好呀~这里是爱看美女的茜茜呐 又到了学Python时刻~ 环境使用: Python 3.8 解释器 Pycharm 编辑器 模块使用 import parsel >>> pip install parsel import requests >>> pip install requests import csv 安装python第三方…

LeetCode 1825 求出MK平均值【Set 队列】 HERODING的LeetCode之路

解题思路: 好久没更新力扣困难题的题解了,今天这道困难题有点意思,读罢题目一目了然,解题思路清晰明了,就是解题过程细节满满。这是一个数据流场景的问题,保留最后m个元素,但是要去除k个最大&am…

设计模式—工厂方法模式

工厂方法模式 文章目录工厂方法模式工厂方法模式是什么理解工厂方法模式代码实例运行截图工厂方法的优点工厂方法的不足工厂方法模式是什么 工厂方法模式属于创建型模式,也叫抽象构造模式, 工厂方法模式将工厂抽象化,并定义一个创建对象的接…

高级语言(C语言)、汇编语言、机器语言区别?编译器如何将高级语言编译成机器语言?

⾼级语⾔: 是相对于汇编语⾔⽽⾔的,是⾼度封装了的编程语⾔,与低级语⾔相对。它是以⼈类的⽇常语⾔为基础的⼀种编程语⾔,使⽤⼀般⼈易于接受的⽂字来表⽰(例如汉字、不规则英⽂或其他外语),从…

(二十四)List系列集合

目录 前言: 一、List集合的特有方法 二、List集合的遍历方式有几种? 三、Arraylist集合底层原理 四、LinkedList的特点 前言: List集合包括JavaList接口以及List接口的所有实现类。List集合中的元素允许重复,各元素的顺序放是对象插入的顺序&#xff…

C生万物 | C语言文件操作指南汇总【内附文件外排序源码】

👑作者主页:Fire_Cloud_1 🏠学习社区:烈火神盾 🔗专栏链接:万物之源——C 文章目录一、为什么使用文件?二、什么是文件?1、程序文件2、数据文件3、文件名三、文件的打开和关闭1、文件…

自动化测试【软件测试】

自动化测试 什么是自动化 有效减少人力的消耗,同时提高生活的质量 通过自动化测试有效减少人力的投入,同时提高了测试的质量和效率 由于回归测试,版本越来越多,版本回归的压力越来越大,仅仅通过人工测试来回归所有版本…

2.3、进程控制

整体框架 1、什么是进程控制? 进程控制的主要功能是对系统中的所有进程实施有效的管理, 它具有创建新进程、撤销已有进程、实现进程状态转换等功能。 简单来说:进程控制就是要实现进程状态转换 2、如何实现进程控制? 2.1、进程…

ATAC-seq分析:TSS 信号(7)

ATACseq ATACseq - 使用转座酶并提供一种同时从单个样本的转录因子结合位点和核小体位置提取信号的方法。 1. 数据类型 上面这意味着我们的数据中可能包含多种信号类型。 我们将从无核小体区域和转录因子(我们的较短片段)周围获得信号。我们的一部分信号…

2-Spring核心与设计思想

目录 1.Spring是什么? 2.容器是什么? 3.IoC是什么? 3.1.传统程序开发 3.2.控制反转式程序开发 3.3.对比总结规律 4.理解Spring IoC 4.1.将对象(Bean)存入到容器(Spring); 4.2.从容器中取出对象。 5.DI概念说明 1.Spring…

计算机编程背景

💖 欢迎来阅读子豪的博客(JavaEE篇 🤴) 👉 有宝贵的意见或建议可以在留言区留言 💻 欢迎 素质三连 点赞 关注 收藏 🧑‍🚀码云仓库:补集王子的代码仓库 不要偷走我小火…

classpath类路径是什么

Spring Boot 一、简介 classpath类路径在 Spring Boot 中既指程序在打包前的/java/目录加上/resource目录,也指程序在打包后生成的/classes/目录。两者实际上指的是同一个目录,里面包含的文件内容一模一样。 二、获取classpath路径 以下两种方式均可…

Icarus Verilog

Icarus Verilog 是一个Verilog仿真工具,以编译器的形式工作,将以verilog编写的源代码编译为某种目标格式。如果要进行仿真的话,可以生成一个vvp的中间格式,由其所附带的vvp命令执行。 https://github.com/steveicarus/iverilog …

面试官:请设计一个能支撑百万连接的系统架构!

目录 1、到底什么是连接?2、为什么每次发送请求都要建立连接?3、长连接模式下需要耗费大量资源4、Kafka遇到的问题:应对大量客户端连接5、Kafka的架构实践:Reactor多路复用6、优化后的架构是如何支撑大量连接的 这篇文章&#x…

SQL Server 全文索引的应用

在公司项目中提出了一个需求: 搜索包含指定关键词的数据。得到这需求后,站在技术角度考虑第一时间就联想到使用SQL里面“like”查询语句。进一步分析需求后,发现“Like”查询满足不到实际的要求。 示例: ---------------------…

【Ajax】接口与接口测试工具PostMan

一、接口接口的概念使用 Ajax 请求数据时,被请求的 URL 地址,就叫做数据接口(简称接口)。同时,每个接口必须有请求方式。例如:http://www.liulongbin.top:3006/api/getbooks 获取图书列表的接口(GET请求)ht…

【4 - 降维算法PCA和SVD - 案例部分】菜菜sklearn机器学习

课程地址:《菜菜的机器学习sklearn课堂》_哔哩哔哩_bilibili 第一期:sklearn入门 & 决策树在sklearn中的实现第二期:随机森林在sklearn中的实现第三期:sklearn中的数据预处理和特征工程第四期:sklearn中的降维算法…