Burp Suite模块介绍
Target
主要功能
- 显示信息。
- 默认记录爬虫所爬行的页面及每个页面的请求头以及相应信息。
使用流程
- 在
Site map中,将目标站点发送到Scope。
- 使用
Filter过滤。
任意的URL/HTTP请求都可以发送到其他模块。
Spider
主要功能
- 网络爬虫,枚举应用程序的内容和功能。
- 在爬行时默认进行漏洞扫描,检测每个访问过的
URL。
使用流程
- 在
Proxy中的Action将请求发送到Spider。
- 在
Target>Site map中即可看到爬行列表。
- 在
Spider>Control中可以看到爬行状态,决定开始或者停止。
Scanner
主要功能
使用流程
单一URL
- 在
Proxy中的Action选择Do an active scan即可对该请求的单一URL进行扫描。
全站扫描
- 先爬行该网站所有链接。
- 在
Target中选择目的网站,右键转到Actively Scan this Host。
- 跳出向导后,删除不需要扫描的页面,对需要扫描的页面进行确认。
- 在
Scan queue中可以查看扫描进度,在Results中查看扫描结果。
Intruder
主要功能
高度可配置的工具,最重要的是配置Attack Type、程序变量以及字典的设置。
使用流程
- 将拦截到的请求发送到
Intruder,在Intruder>Target中可看到目标网址和访问端口。
- 在
Positions中进行主要配置。
- 配置后,点击
Start Attack进行扫描。
具体配置
Attack Type
| 名称 |
功能 |
| Sniper |
对变量依次进行破解 |
| Battering ram |
对变量同时进行破解 |
| Pitch fork |
每个变量将会对应一个字典 |
| Cluster bomb |
每个变量将会对应一个字典,并且交叉破解,尝试每一个组合 |
程序变量
字典
Payload Sets
Set针对指定变量进行配置。Type为Payload的类型。
| 名称 |
功能 |
| Simple list |
简单列表 |
| Runtime file |
运行时读取列表 |
| Numbers |
数字列表 |
| Dates |
日期列表 |
Payload Options
Payload Processing
- 对字符串进行处理。
- 支持
MD5加密、字符串截取、加入前缀/后缀等。
Payload Encoding
Option
| 选项 |
功能 |
| Request Engine |
请求引擎设置,设置线程、超时等信息 |
| Attack Results |
攻击结果显示,设置request、response |
| Grep-Match |
识别 response中是否存在此表达式或简单字符串 |
| Grep-Extract |
通过正则截取response中的信息 |
Decoder
主要功能
- 支持对
URL、HEX、HTML等格式字符串进行编码。
使用流程
- 在文本框中输入需要编/解码的文本。
- 右侧选择操作模式。
Comparer
主要功能
使用流程
- 选择直接加载文本或者将需要比对的文本发送到
Comparer。
- 通过
Select item 1和Select item 2选择要比较的两段字符串,点击words开始比较。
Repeater
主要功能
使用流程
- 拦截到请求后发送到
Repeater。
- 直接在框中修改请求内容。
- 点击
Send发送请求,得到的回复在Response显示。
浙公网安备 33010602011771号