Burp Suite导入证书支持https访问及burpsuite基本使用和http协议

问题：Burp Suite在，访问百度这些https协议加密的网站，显示证书不信任

解决：

1、在浏览器输入127.0.0.1:8080（8080是Brup的代理端口），点击CA Certificate

 

 2、下载，点击保存

 

3、 下完以后点击浏览器的工具—选项

 

 4、信任

 

 5、完成，导入完成以后就能看到，下面那个Port证书。再去访问https的网站就可以了。

 

HTTP协议：

http（默认80端口）是明文发送的，现在已改用https（默认443端口）

 

下面图中标记部分是重点

无连接：就像UDP，，，而UDP则是直接发送数据等待reply，而微信并不连接直接发送信息，UDP和微信一样无连接。

TCP是面向连接的（像打电话和微信一样，打电话是先建立连接再对话），先三次握手连接再传数据。

 

 

HTTP是一个响应请求协议，任何HTTP的一个会话都是由一个请求和一个响应组成，对应着一个连接，一个连接完成了，就断开，开始第二个连接

 

 消息报头:

 

一般只做调试：HEAD：只拿头部内容     

OPTIONS：OPTIONS方法用来查询针对请求URI指定资源支持的方法（客户端询问服务器可以提交哪些请求方法）  PUT：上传文件    DELETE：删除    TRACE：跟踪路径         

PS：除啦GET和POST其他五个一般都不开、只是调试的时候用。尤其是PUT，DELETE（对网站影响很大）。

　　GET其实也能把数据传到服务器，但是和POST的区别就是，

　　用GET传输数据，数据会在URL里看到，这个name大小最多不超过2KB，POST传输不抓包看不到内容，大小不受限制，所以表单（用户名，密码，留言）一般都用POST方法

 

HTTP请求URL

URI（是一个相对于服务器根目录的，相对地址,，使用（/）开头）、URL（是一个完整的绝对路径从http开始）

 

HTTP请求头域（网站在不同平台比如手机、电脑上显示，怎么就知道是用手机在访问这个网站呢，需要判断客户端的信息，请求头域就是包含客户机的信息）

 

 HTTP请求实体（传递的用户名，密码都在这个里面）

HTTP响应

 

 eg：响应（消息）包头包含的是服务器的信息

 

 响应代码是HTTP的一个定义，（302重定向，404自己（客户端）输入的问题、找不到，502服务器端有错误。）

burpsuite基本使用，链接——>点我，查看第18关

Burpsuite使用的是8080端口。

BurpSuite其实本身就是一个代理软件（可以直接访问网站），让本地浏览器通过自己上网，抓包。

代理服务器小科普：

　　假设PC1和PC2连着同一台交换机，且在同一局域网内，但是只有PC2能通过交换机—路由器，可以上网，PC1没有账号上不了网，此时PC1发现可以和PC2进行通信，所以将PC2作为自己的代理服务器，PC2开了一个8000端口作为接收PC1的请求帮它代理上网，这时PC1的浏览器就要配置一个代理：1.1.1.2:8000，

　　Pc1访问百度时，请求交给了PC2的8000端口，8000端口有能力上网就把请求替PC1发出去，再把结果拿回来，缓存，交给PC1，PC1就可以打开网页，这种上网方式并不是PC1自己访问服务器，而是PC2，PC2就是PC1的代理服务器

 

Burpsuite其它适用功能

（比如：Spiede爬虫功能、Scanner自动帮我们扫它上面的路径、Intrude自动爆破、Repeater重复测试、Decoder各种类型的解码编码）