学习视频来自B站UP主 泷羽sec,如涉及侵泷羽sec权马上删除文章。
笔记只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负
这节课旨在扩大自己在网络安全方面的知识面,了解网络安全领域的见闻,了解学习哪些知识对于我们渗透测试有帮助,避免盲目地学习降低效率。
B站超链接:burp功能介绍(1)_哔哩哔哩_bilibili
———————————————————————————————————————————
Burp Suite是一款极为强大且广受欢迎的集成化Web应用安全测试工具,由多个协同运作的模块组成,旨在助力安全从业者、渗透测试人员以及安全爱好者全面剖析目标Web应用的安全性,精准探测各类潜在漏洞,无论是简单的小型网站,还是复杂的大型企业级Web系统,他都能大显身手
他是Burp Suite的核心组件之一。通过配置浏览器或其他客户端使用Burp Suite的代理服务器,它能够拦截并查看客户端和服务器之间传输的HTTP/S请求和响应
例如:
- 在浏览器访问一个网站时,请求会先被Burp Suite的代理捕获。这使得安全测试人员可以查看请求中的详细信息,如请求方法(GET、POST等)、URL、请求头(包含如User - Agent、Cookie等重要信息)和请求体(对于POST请求等包含提交的数据)
同时,也能查看服务器返回的响应,包含响应状态码、响应头和响应体
也可以对这些请求和响应进行修改后再转发,这对于测试输入验证、SQL注入、跨站脚本攻击(XSS)等漏洞非常有用
比如在测试SQL注入时,可以在请求的参数中修改数据,看服务器是否会执行恶意的SQL语句
这个组件用于自动发现Web应用程序的内容和功能。它会从一个起始URL开始,像一个真正的搜索引擎爬虫一样,递归地搜索链接、表单等内容
例如
- URL,从而发现更多的页面路径。着有助于安全测试人员全面了解应用程序的结构,确保不会遗漏任何可能存在漏洞的页面给他一个网站首页的URL,他会顺着页面中的链接去访问其他页面,并且能够识别表单提交的目标
可以根据自定义的规则进行爬行,如果限制爬行的深度、范围等,可以更好地适应不同的测试场景
它能够自动检测Web应用程序中的各种安全漏洞。他会根据内置的漏洞检测规则和技术,对通过代理或蜘蛛发现的目标应用程序进行扫描
例如
- 它可以检测常见的漏洞,如SQL注入漏洞、跨站脚本攻击(XSS)漏洞、文件包含漏洞等。
- 在扫描过程中,他会发送一系列经过精心构造的测试请求,然后分析服务器的响应来判断是否存在漏洞
- 扫描器会生成详细的扫描报告,指出发现的漏洞的位置、类型和风险等级、帮助安全测试人员快速定位和修复问题。
但是扫描器也不是万能的,有些复杂的漏洞可能需要手动测试来发现
Intuder是用于执行各种攻击,如暴力破解密码、枚举目录和文件等,它允许安全测试人员通过配置攻击载荷(Payloads)来对目标进行攻击
例如
- 在进行密码暴力破解时,可以将用户名作为一个固定参数,密码字段作为攻击载荷的位置
- 然后选择合适的密码字典作为攻击载荷,Intruder会自动发送一系列请求,尝试不同的密码组合,通过观察服务器的响应来判断是否成功登录
它还可以用于测试参数的边界值,通过修改参数的值范围来发现潜在的漏洞,比如证书溢出漏洞等
主要用于手动修改和重新发送单个请求。安全测试人员可以在Repeater中获取从代理拦截的请求,或者自己手动构建请求
例如
- 当发现一个可疑的请求时,可以将其发送到Repeater中,然后对请求中的参数进行修改。
- 比如修改一个用户ID参数的值,再次发送请求,观察服务器的不同响应,从而判断该参数是否存在安全风险,如越权访问等问题
用于对数据进行编码和解码操作。在Web应用程序安全测试中,经常会遇到需要对数据进行编码转换的情况,如URL编码、Base64编码等
例如
- 当遇到一个经过Base64编码的敏感信息(如用户凭证)在请求或响应中时,可以使用Decoder将其编码,查看原始内容
同时,也可以对自定义的数据进行编码,以模拟一些特殊的攻击场景,比如构造经过编码的恶意脚本进行XSS测试
功能:用于比较两个不同的请求、响应或者其他数据之间的差异,这在安全测试中非常有用
例如
- 当你修改了一个请求参数并重新发送后,可以使用Comparer来查看响应内容与原始响应有哪些不同之处
应用场景:比如在测试文件上传功能时,比较正常文件上传和恶意文件上传(如包含恶意脚本的文件)后的服务器响应差异,以此来判断是否存在安全漏洞
他可以比较的数据包括HTTP消息头、消息体、XML数据、JSON数据等多种格式
功能:主要用于分析应用程序会话令牌(Session Tokens)或其他重要数据的随机性和可预测性。它通过收集和分析大量的令牌样本,来评估这些数据是否足够安全
应用场景:例如,对于一个基于会话的Web应用程序,通过Sequencer来检查会话令牌是否是随机生成的,还是存在可预测的模式
如果令牌是可预测的,那么攻击者就有可能劫持其他用户的会话,从而获取非法访问权限。它可以帮助发现如会话固定、令牌预测等安全隐患
功能:这是一个允许用户扩展 Burp Suite 功能的组件。可以通过编写自定义的插件或者加载第三方插件来添加新的功能。
- 这些插件可以是用于新的漏洞检测方法、特定协议的处理或者其他个性化的安全测试需求。
应用场景:安全研究社区经常会开发一些新的插件来针对最新出现的漏洞类型或者特定行业应用的安全测试。
例如
- 针对某种新型的物联网协议的安全测试插件,通过加载到Extender 中,可以让 Burp Suite 具备检测该协议相关安全漏洞的能力。
功能:它用于记录所有通过代理的请求和响应的详细信息。这些记录可以在后续的分析中发挥作用
例如
- 当你需要回顾整个测试过程中某价特定功能的请求和响应情况时,Logger 中的记录就可以提供完整的数据。
应用场景:在一个复杂的 Web 应用程序测试中,可能涉及到大量的交互操作。通过 Logger 可以完整地保存所有相关的信息,便于在发现问题后进行回溯和分析,找出可能导致漏洞的操作步骤或者数据传输情况。
功能:它用于定义和管理测试目标。可以添加、删除和编辑目标网站的相关信息,包括目标的范围(如特定的 URL路径范围)、目标的状态(是否正在测试等)等。
应用场景:在对多个 Web 应用程序或者一个大型 Web 应用程序的不同模块进行测试时,通过Target 组件可以有效地组织和区分不同的测试目标,确保测试工作的系统性和针对性。
例如
- 在一个企业级应用中,不同的子系统可能有不同的安全要求,通过 Target 可以分别定义这些子系统为不同的目标进行独立测试。
企业的安全团队可以使用 Burp suite 对公司内部开发的Web 应用程序进行安全审计。通过全面扫描和手动测试,发现潜在的安全漏洞,在应用程序上线前将风险降到最低。
专业的渗透测试人员可以利用 Burp Suite 的各种工具,模拟黑客攻击的方式,对目标 Web 应用程序进行渗透测试。
从信息收集(通过 Spider)到漏洞利用(通过 Intruder等),为客户提供详细的安全评估报告。
安全研究人员可以使用 Burp Suite 深入研究 Web 应用程序的安全机制和漏洞类型。通过对不同应用程序的测试,发现新的漏洞或者验证新的攻击技术的有效性。
Burp Suite 有免费版和专业版,免费版提供了基本的功能,如代理和简单的手动测试工具,对于初学者学习和小型项目的初步安全检查有一定的帮助。
专业版则提供了更强大的功能,如高级扫描器、更丰富的攻击载荷等,适合专业的安全测试和审计工作。
购买专业版许可证后,可以获得软件的更新和技术支持。同时,许可证的使用也需要遵守相关的使用规定,如只能用于合法的安全测试目的,不能用于恶意攻击等非法活动,
在使用 Burp Suite 时,也需要注意其合法性。