安全测试

 

 

 

 渗透测试常用的测试工具：burpsuite

burpsuite：是浏览器向服务器发送请求中间的一个拦截过程，可以称为代理拦截器，所有浏览器过来的数据包发给burpsuite,再由burpsuite发给服务器，burpsuite可以对浏览器数据包进行增删改查

 

 burpsuite是Java开发的，所以安装之前，装好JDK1.8以上版本

 

 

 浏览器配置：

 

 配置好后，浏览器的数据就能发送到burpsuite里面去

刷新浏览器页面：

 

 查看burpsuite：

 

 如果要达到拦截的效果，选择intercept

 

 

 action是给服务包发送到不同的目录栏里面

如果修改请求，后面发给服务器操作如下：

 

 修改好参数后，点击forward给数据发给服务器

重放操作如下：

 

 

 

 

 Burp Suite 是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

在一个工具处理HTTP 请求和响应时，它可以选择调用其他任意的Burp工具。例如：

代理记录的请求可被Intruder 用来构造一个自定义的自动攻击的准则，也可被Repeater 用来手动攻击，也可被Scanner 用来分析漏洞，或者被Spider(网络爬虫)用来自动搜索内容。应用程序可以是“被动地”运行，而不是产生大量的自动请求。Burp Proxy 把所有通过的请求和响应解析为连接和形式，同时站点地图也相应地更新。由于完全的控制了每一个请求，你就可以以一种非入侵的方式来探测敏感的应用程序。

当你浏览网页(这取决于定义的目标范围)时，通过自动扫描经过代理的请求就能发现安全漏洞。

IburpExtender 是用来扩展Burp Suite 和单个工具的功能。一个工具处理的数据结果，可以被其他工具随意的使用，并产生相应的结果。

工具箱

编辑

Proxy——是一个拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。

Spider——是一个应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。

Scanner[仅限专业版]——是一个高级的工具，执行后，它能自动地发现web 应用程序的安全漏洞。

Intruder——是一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。

Repeater——是一个靠手动操作来补发单独的HTTP 请求，并分析应用程序响应的工具。

Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。

Comparer——是一个实用的工具，通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

 

使用

当Burp Suite 运行后，Burp Proxy 开启默认的8080 端口作为本地代理接口。通过设置一个web 浏览器使用其代理服务器，所有的网站流量可以被拦截，查看和修改。默认情况下，对非媒体资源的请求将被拦截并显示(可以通过Burp Proxy 选项里的options 选项修改默认值)。对所有通过Burp Proxy 网站流量使用预设的方案进行分析，然后纳入到目标站点地图中，来勾勒出一张包含访问的应用程序的内容和功能的画面。在Burp Suite 专业版中，默认情况下，Burp Scanner是被动地分析所有的请求来确定一系列的安全漏洞。

在你开始认真的工作之前，你最好为指定工作范围。最简单的方法就是浏览访问目标应用程序，然后找到相关主机或目录的站点地图，并使用上下菜单添加URL 路径范围。通过配置的这个中心范围，能以任意方式控制单个Burp 工具的运行。

当你浏览目标应用程序时，你可以手动编辑代理截获的请求和响应，或者把拦截完全关闭。在拦截关闭后，每一个请求，响应和内容的历史记录仍能再站点地图中积累下来。

和修改代理内截获的消息一样，你可以把这些消息发送到其他Burp 工具执行一些操作：

你可以把请求发送到Repeater,手动微调这些对应用程序的攻击，并重新发送多次的单独请求。

[专业版]你可以把请求发送到Scanner,执行主动或被动的漏洞扫描。

你可以把请求发送到Intruer，加载一个自定义的自动攻击方案，进行确定一些常规漏洞。

如果你看到一个响应，包含不可预知内容的会话令牌或其他标识符，你可以把它发送到Sequencer 来测试它的随机性。

当请求或响应中包含不透明数据时，可以把它发送到Decoder 进行智能解码和识别一些隐藏的信息。

[专业版]你可使用一些engagement 工具使你的工作更快更有效。

你在代理历史记录的项目，单个主机，站点地图里目录和文件，或者请求响应上显示可以使用工具的任意地方上执行任意以上的操作。

可以通过一个中央日志记录的功能，来记录所单个工具或整个套件发出的请求和响应。

这些工具可以运行在一个单一的选项卡窗口或者一个被分离的单个窗口。所有的工具和套件的配置信息是可选为通过程序持久性的加载。在Burp Suite 专业版中，你可以保存整个组件工具的设置状态，在下次加载过来恢复你的工具。

个人感受

burpsuite官方已经更新到1.6，与之前的一点1.4相比。界面做了比较大的变化。而且还增加了自定义快捷键功能。burpsuite对中文字符乱码解决起来很简单只要相应的设置下即可：options——display：

burpsuite入门的难点是：入门很难，参数复杂，但是一旦掌握它的使用方法，在日常工作中肯定会如如虎添翼；

验证码：

 

第一张：代表第一代验证码，弊端如下：

截取每一个图片，给每一个字母进行切割，切割之后进行机器对比，根据每一个像素大小不一样。来识别每一个代表什么字母，从而进行爆破验证码
第二，三张：代表第二代验证码（在第一代的基础上，加一些颜色），弊端如下：
基本颜色是由3个组成的,RGB，过滤每一种基本色素后，紫色和白色的差异，差异不一样后进行判断，紫色的是什么字，进行机器对比识别是什么字
第四张：需要基础储备了，弊端如下：
机器首先要判断法国首都几个字代表啥意思，然后对应找它的答案，在数据库里找到答案，来破解这个验证，图片里面字与字之间有一定的粘合度，切割的时候，很容易对另一个影响，从而增大了爆破的难度
第五张：12306集合了大量的图片，图片都是比较模糊的，只有肉眼才能分辨的，静态验证码中比较安全的
第六张：动态交互的验证码
首先输入手机验证码，收到验证码之前，要输入下面字母验证码，防止对手机验证码的爆破，手机如果持续接到这个验证码，手机性能不是很好的情况下，
会收到很多验证码，加了下面验证码，是防止手机炸弹的，再下面就是手机接到的短信验证码，证明了手机是你的，第一验证了你手机的号码性，第二验证了
验证了你手机收到的短信验证码，一般通过短信验证的，爆破率不是很高

 暴力破解：https://www.cnblogs.com/bonelee/p/9322684.html

 1、如果要破解某个网站后台，可以通过Google黑语法，找到网站后台，通过抓包工具，改包进行爆破