12、入侵者捕获详细的攻击结果,并以表格形式清晰地显示有关每个请求和响应的所有相关信息。捕获的数据包括有效载荷值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
三、基本手动工具
1、Burp Proxy允许手动测试人员拦截浏览器和目标应用程序之间的所有请求和响应,即使使用HTTPS时也是如此。
2、您可以查看,编辑或删除单个消息,以操纵应用程序的服务器端或客户端组件。
3、该代理历史记录所有请求和响应通过代理的全部细节。
4、您可以用注释和彩色突出显示来注释单个项目,以便标记有趣的项目,以便以后进行手动后续操作。
5、Burp Proxy可以对响应执行各种自动修改,以方便测试。例如,您可以取消隐藏隐藏的表单字段,启用禁用的表单字段并删除JavaScript表单验证。
6、您可以使用匹配和替换规则,将自定义修改自动应用于通过代理传递的请求和响应。您可以创建对消息标题和正文,请求参数或URL文件路径进行操作的规则。
7、Burp有助于消除拦截HTTPS连接时可能发生的浏览器安全警告。安装时,Burp会生成一个唯一的CA证书,您可以将其安装在浏览器中。然后,为您访问的每个域生成主机证书,并由受信任的CA证书签名。
8、Burp支持对非代理感知客户端的无形代理,从而可以测试非标准用户代理,例如胖客户端应用程序和某些移动应用程序。
9、HTML5 WebSockets消息以与常规HTTP消息相同的方式被拦截并记录到单独的历史记录中。
10、您可以配置细粒度的拦截规则,以精确控制要拦截的消息,从而使您可以专注于最有趣的交互。
11、该目标站点地图显示所有已在网站被发现被测试的内容。内容以树形视图显示,该视图与站点的URL结构相对应。在树中选择分支或节点将显示单个项目的列表,并在需要时提供完整的详细信息,包括请求和响应。
12、所有请求和响应都显示在功能丰富的HTTP消息编辑器中。这提供了对基础消息的大量视图,以帮助分析和修改其内容。
13、可以在Burp工具之间轻松发送单独的请求和响应,以支持各种手动测试工作流程。
14、使用Repeater工具,您可以手动编辑和重新发出单个请求,以及完整的请求和响应历史记录。
15、Sequencer工具用于使用标准密码测试的随机性对会话令牌进行统计分析
16、解码器工具使您可以在现代网络上使用的常见编码方案和格式之间转换数据。
17、Clickbandit工具针对易受攻击的应用程序功能生成有效的Clickjacking攻击。
18、比较器工具在成对的请求和响应或其他有趣的数据之间执行视觉区别。
19、您可以创建自定义会话处理规则来处理特定情况。会话处理规则可以自动登录,检测和恢复无效的会话以及获取有效的CSRF令牌。
20、强大的Burp Extender API允许扩展自定义Burp的行为并与其他工具集成。Burp扩展的常见用例包括即时修改HTTP请求和响应,自定义Burp UI,添加自定义扫描程序检查以及访问关键的运行时信息,包括爬网和扫描结果。
21、该BAPP商店是贡献的爆发式的用户社区随时可以使用扩展的存储库。只需在Burp UI中单击即可安装这些工具。
burp suite使用教程1、首先需要安装一个java环境。
2、然后需要下载好一个burpsuite的软件,如果是jar包就用java -jar 打开就可以了。
3、如果要使用代理的话,可以使用火狐插件FoxyProxy设置。
4、Burp Suite 2020也要对应设置好。
5、先点击这里就可以对访问的流量进行一个拦截。
6、浏览器对网址进行访问,即可成功截取请求信息。
1、自动收获低垂的水果
Web漏洞扫描程序是Burp Suite Professional的核心。这是世界上许多最大的组织信任的扫描仪。