BurpSuite 的安装与配置

BurpSuite是用于攻击WEB应用程序的集成平台：

主要功能：

拦截http和https请求

Burp Spider-爬虫

Burp Repeater --请求重复发送

Burp Scanner--漏洞扫描

----------------------------------

功能简介：

Proxy,与代理相关

1、默认是127.0.0.1:8080如果你的没有自己设置的话，那就添加就好了

2、我们打开浏览器，这里我推荐firefox，设置代理

3、访问127.0.0.1:8080，倒入CA证书。

 

 

 

Intercept(拦截)：默认Intercept is on 按钮出于开启状态 也就是说默认代理截断功能是打开的.此时所有的请求都会被截断,只有手动Forward之后请求才会被发出去

 Http history(http请求历史)：所有经过burp suite的请求 都会被记录到Http history中. 上面是请求概要信息,下面是请求的详细信息

WebSockets history:有的web是没有界面的 是用过一个长链接 类似于api的方式来传输数据  burp suite也是可以截获这类信息的.

Options(配置选项)：

 

 

 -------------------------------------

Scanner标签下有五个功能，下面分别进行介绍：

1）Issue activity问题清单

这里记录了问题发生的顺序，时间，问题类型，url地址等

主要扫描一下问题：反射型XSS，Flash跨域策略、SQL注入、未加密通信、跨域引用漏洞、公开电子邮件地址

2）Scan queue扫描队列

扫描队列记录了扫描主机、扫描状态、问题数量、请求的次数的等扫描信息

3）Living scanning在线扫描

通过“Living scanning”页签可以设置扫描策略，即是否在监听时发现站点就进行扫描，这里默认的开关是关。

4）问题列表

这里列出了burpsuite可以测试的的漏洞类型，包括注入、xss、命令执行等各类常见的web漏洞