【愚公系列】2022年03月 Web滲透測試之burpsuit的相關功能

一：burpsuit相關功能

1.了解burpsuite

Burp Suite是用于攻擊web應用程序的集成平臺。包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP消息，持久性，認證，代理，日志，警報的可擴展的框架。

在一個工具處理HTTP請求和響應時，它可以選擇調用其他任意的 Burp 工具。例如，代理記錄的請求可被Intruder用來構造一個自定義的自動攻擊的準則，也可被 Repeater 用來手動攻擊，也可被 Scanner 用來分析漏洞，或者被 Spider(網絡爬蟲)用來自動搜索內容。

Burpsuite主要有如下模塊/功能：

1.Target，顯示目標站點目錄結構 2.Proxy，是一個攔截HTTP/S的代理服務器，作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數據流。 3.Spider，是一個應用智能感應的網絡爬蟲，它能完整的枚舉應用程序的內容和功能。 4.Scanner，是一個高級工具，執行后，它能自動地發現web 應用程序的安全漏洞。 5.Intruder，是一個定制的高度可配置的工具，對web應用程序進行自動化攻擊，如：枚舉標識符，收集有用的數據，以及使用fuzzing 技術探測常規漏洞。 6.Repeater，是一個靠手動操作來觸發單獨的HTTP 請求，并分析應用程序響應的工具。 7.Sequencer，是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。 8.Decoder，是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。 9.Comparer，通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。 10.Extender，可以讓你加載Burp Suite的擴展，使用你自己的或第三方代碼來擴展Burp Suit的功能。 11.Options，對Burp Suite的一些設置

2.了解服務端MIME類型檢測

服務端MIME檢測類型圖片上傳過程中http包的Content-Type是否為image/jpeg，如果是就可以成功上傳。相關源代碼：

可以看到紅色區域中的if語句只對Content-Type和圖片的大小做了判斷。

HTTP web前端

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。