Burp Suite是用于执行Web应用程序安全性测试的平台。在本文中,我将分享一些有关如何更有效地使用此工具的提示。
设定值
要正确使用任何工具,请务必自行定制。Burp Suite中有两种设置类型:
- 用户选项-与Burp Suite本身相关的设置
- 项目选项-黑客设置
编码方式
, . UtF-8 . User Options -> Display -> Characters Sets.
Burp Suite . , " ". User Options -> Misc -> Hotkeys. :
- \:
- Ctrl+(Shift)+U|H|B “URL|HTML|Base64 (de)code”
- GUI:
- Ctrl+Shift+T|P|S|I|R — “ ”
- Ctrl+I|R|D — " "
- Burp Repeater:
- Ctrl+G — " Burp Repeater"
Proxy Interception
, Burp Proxy - , ? . - , . … , . User -> Misc -> Proxy Interseption "Always Disable".
PortSwigger . "", . , — , PortSwigger. User Options -> Misc -> Performance Feedback .
Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server
, . :
- ( JSON ).
- .
- (, git ).
- :
{
"project_options":{
// options
},
"user_options":{
// options
}
}Burp Suite . , .
, .
Burp Suite Java, , . :
java -jar -Xmx2048M burp.jarBurp Suite. :
- Burp Proxy Burp Suite, , , .
- Burp Repeater — HTTP-, - .
- Burp Intruder — -. , , .
, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .
Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.
Burp Suite , , . , , - .
Burp Repeater, Burp Intruder, .
. Burp , , . , , "+", "Auto-scroll to match when text changes".
\. Burp Repeater View->Top/bottom split
Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .
Burp Intruder , . , /, - . , , , , .
:
- Add prefix / suffix — .
- Match / replace — , , .
- Encode / Decode — : URL, HTML, Base64, ASCII hex.
- Hash — .
- Skip if matches regex — , . , , , , .
Intruder
Burp Intruder , . Burp . , , , .
在分析大量扫描结果时,使用此选项将非常有用,并且可以使您快速找到感兴趣的内容。例如,在测试SQL注入时,搜索包含“ ODBC”,“错误”等的消息将帮助您快速找到易受攻击的参数。