滲透————burpsuite(基礎熟悉篇)
阿新 • • 發佈:2019-02-14
burpsuite是java語言編寫的一款強大的綜合工具,支援線上攔包、分析包、編碼、提交、掃描等一系列功能魚一身的軟體。安裝burpsuite時,本機
要有jdk環境,burpsuit需要開啟代理。
target————爬行地圖(site map)
proxy————代理設定及開關
spider————爬行
scanner————掃描
intruder————自動化攻擊,包的設定均在這裡
repeater————對上傳漏洞的包進行線上測試
sequencer————設定
decoder————編碼
comparer————比較
通常情況用前面的6種,做測試時,推薦安裝ie瀏覽器和火狐瀏覽器,因為二者核心是不同的。
例如:攔截一個存在注入的網站後,傳送到intruder,對id值進行修改。(burpsuite裡面空格用+代替)在設定id時,可以點選右面的add,然後在payload
設定為字典,(如payload type:numbers from 1 to 30 step 1)再在options設定執行緒。攻擊時注意狀態嗎和長度