安全性测试之Burp Suite的使用

1.概述

1.1 Burp Suite

Burp Suite是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp Suite是商业软件。
官网：https://portswigger.net

1.2 主要功能

包含13个模块：Target、 Proxy、Spider、Scanner、Intruder、 Repeater、Sequencer、Decoder、Comparer、Extender、Project options、User options、Alerts

主要功能：

• 代理功能，可以截获和修改从客户端到web端的数据包
• 爬网功能，可以爬行到网站内所有链接
• 扫描功能，可以自动探测网页中各种类型的漏洞
• 入侵功能，可以对网站进行模糊测试和暴力破解
• 中继器功能，可以将截获的数据包任意次数地重新发送
• 定序器功能，可能检查Web应用程序提供的会话令牌的随机性
• 解码功能，可以对截获数据的任意内容进行编解码
• 比较器功能，可以比较任意两个请求或响应的区别，并进一步分析

1.3 安装步骤

1. 从官网下载安装包
2. 安装和配置Java环境
3. 启动和激活Burp Suite：java –jar burp-suite.jar
4. 在浏览器设置代理
5. 在浏览器中导入Burp Suite的CA证书

2.常用模块功能介绍

2.1Proxy

2.1.1Burp Suite代理设置步骤：

1）确定代理地址

2）在浏览器中设置代理（以firefox为例）

3）从Burp Suite中导出CA证书


4）将CA证书导入到浏览器中

2.1.2截包功能

以访问百度为例：

2.2Target

2.2.1导航功能

可在导航界面查看所有抓到的包信息，将抓到的包根据域名分类显示，黑色代表有效访问（有请求和响应），灰色代表无效访问（有请求无响应）

2.2.2黑名单/白名单功能

可设置允许访问的网站和不允许访问的网站，以过滤’https://www.baidu.com’网站为例：
1）在白名单中设置要过滤的网址：https://www.baidu.com

2）在Site Map界面，点击上方空白区域弹出高级查询窗口，选中‘Show only in-scope items’

3） 导航界面根据过滤条件显示结果

2.3Spider

2.3.1被动爬网

访问哪个页面就爬哪个页面

2.3.2主动爬网

1） 设置普通表单的处理方式：

设置登录表单的提交方式：

2） 启动主动爬网，在Target中查看爬网结果

2.4Scanner

主动扫描

1）通用设置

2） 设置扫描的漏洞范围：

3）对漏报和误报的设置：

4）启动主动扫描

5）观察扫描进度

6） 生成测试报告

2.5Intruder

暴力破解

利用pikachu靶场演示
1）在界面输入正确用户名（前提是知晓用户名）和错误的密码，进行登录并抓包

2）在Burp Suite中，右键选择‘send to Intruder’，将抓到的包发到Intruder模块

3）在要暴力破解的位置上加上暴破标记

4）加载字典文件开始破解

5）分析攻击的结果，其中找到唯一的一个返回内容长度和其它都不一样的payload，大概率就是正确结果

2.6Repeater

抓包后修改密码重复登录

1） 在靶场pikachu中输入正确用户名：admin和错误密码：123，并用Burp Suite抓包，在Burp Suite中将包发送到Repeater模块

2） 在Repeater模块中修改请求内容并重发

3） 在浏览器中查看结果

2.7其他模块

2.7.1Sequencer

分析token值是否安全

2.7.2Decoder

功能：可对字符串进行编解码和加密

2.7.3Comparer

功能：可对两个文本文件的内容进行比较

2.7.4Extender

导入自己编写的插件

2.7.5 Project options

功能：当前项目的设置，支持导入和导出

2.7.6 User options

功能：通用设置

2.7.7 Alerts

功能：显示系统报错、警告信息