一、安装之前下载了,还是提示我要注册码。今天再安装才发现,原来的方法错了。参考以下方法安装:http://www.moonhack.org/post-41.html。二、教程http://www.55
.
一、安装
之前下载了,还是提示我要注册码。今天再安装才发现,原来的方法错了。参考以下方法安装:
http://www.moonhack.org/post-41.html。
二、教程
http://www.55zm.com/a/20120730/39591.html
这个教程挺基础的,直接从外国网站翻译的。主要参考这篇文章一步步学习。
三、软件模块认识
1、Proxy:需要在浏览器上也设置代理后才可以用,能准确分析HTTP 消息的结构与内容。
...
intercept控制是否拦截,可以在history里重新再看,history有过滤器(需开启,可编辑SSL生成方式等)。Raw指未经处理前的信息。
Options中可设置监听器、客户端请求拦截规则、服务器响应拦截规则、响应修改、字段自动替换、特殊设置。
2、Spide:爬行蜘蛛工具,可以用来抓取目标网站,以显示网站的内容,基本结构,和其他功能。
Scope设置爬行的范围。
Options可设置爬行方式、被动爬行(不发送请求)设置、提交项默认设置、登陆项设置、爬行引擎设置、请求头设置。
3、Scanner:Web 应用程序的安全漏洞进行自动发现工具。它被设计用于***测试。
这是扫描报告,有详细的漏洞解释和建议。
queue显示当前扫描的进度,右击进度show details可以看到详细的***请求包和***回应包、正常请求包和回应包。
Live scanning可设置主动扫描(发送恶意包)和被动扫描(不发送请求)的范围及启动。
Options可设置***点、扫描引擎、主动扫描项、被动扫描项。
4、Repeater:可让您手动重新发送单个HTTP 请求。
一般在其他地方右击至repeater,可仔细对交互情况进行分析。
5、Intruder:可以自动实施各种定制***,包括资源枚举、数据提取、模糊测试等常见漏洞等。在各种有效的扫描工具中,它能够以最细化、最简单的方式访问它产生的请求与响应,允许组合利用个人智能与该工具的控制优点。
positions可选择***点,***类型。
payloads可设置***集、***集字典、***时的规则、***url编码。
Options可设置请求头、请求引擎、***结果处理方式、标示匹配特定词(要与***集对应,显示结果以发现异常)、将回应字段加进***集、回应中标示***集、导向。
在工具栏中的intruder也可以配置***集(可自己导入),并开始***。burp可保持设置,windows可单独显示模块。
6、Sequencer:对会话令牌,会话标识符或其他出于安全原因需要随机产生的键值的可预测性进行分析。
live capture从别的模块获取要分析的请求,设置好回应中要令牌出现的位置、引擎,即可点击开始捕获。
manul load可手工导入令牌并统计分析。
options可设置令牌处理方式、分析类型。
7、Decoder:转化成规范的形式编码数据,或转化成各种形式编码和散列的原始数据。它能够智能识别多种编码格式,使用启发式技术。
decode解码,encode编码。
8、Comparer:执行比较数据之间的任何两个项目(一个可视化的“差异”)。
item1与item2中的比较。
9、其他模块说明:
Target可显示目标网站及其结构,可过滤,scope可编辑当前处理的范围(为何客户端软件也被抓取到了?)<对网址中的params字段,如勾选标示此请求有参数>。
Options中,connection可设置自动认证、代理服务器、timeout时间、主机名解析、对范围外的请求处理;HTTP可设置redirections解析的类型、回应流的处理、100状态回应的处理;SSL可设置协商协议、客户端证书、接收到的服务器证书。sessions可设置回话规则、编辑cookie包、宏;display设置用户界面大小、字体显示、编码等;Misc可设置快捷键、登陆请求、临时保存目录和备份、定时任务。
Alert显示工具运行信息。
四、
