BurpSuite

如果只能用一个Web渗透工具，我选BurpSuite。

Web应用程序（Web Application）

• 不同于传统的静态网站
• 所有程序的特点是接收、处理用户输入并返回结果
• 服务器端是个程序，需要程序代码实现业务功能（java、php、asp.nse）
• Web服务器（Apache、IIS）
• 数据库（oracle、mysql）
• 其他后端组件（soap、web service）
• 客户端浏览器代码

BurpSuite

Web应用安全集成测试平台

• 最高效的Web安全测试工具
• 胡同的模块化架构
• Java编写，跨平台
• 手动自动
• 文档健全
• 截断代理（最有效）
• 安装字体（Linux）ttf-wqy-microhei（这是个中文字体，如果你的Kali或者Burp都是英文的，而服务器返回的是中文的，就可能导致乱码）
• 解决安装kali 2020.1版本后的中文乱码问题：只需要安装中文字体_2020中文文字乱码视频全集-CSDN博客
• PortSwigger 公司开发
• 免费版
• 付费版

使用

• Temporary project in memory临时项目，如果用完就关闭的话，在你下次打开的时候之前的记录就都不在了
• 需要重复渗透测试的就选New project on disk

• User Option可以调整字体

HTTP message display

改成中文字体，这样返回包有中文就不会乱码了

Character sets

选择第一个，设置字符自动识别，可以很省事，是

UTF-8

就

UTF-8

，是

Big5

就

Big5

截获流量

• 手机：全局代理
• CA证书：SSL流量截获
• 代理选项

启动

• Project
• Projection Option
• Configuration file
• User Option
• Target
• Site Map(比较)
• Scope
• Filter
• Web扫描器：爬网、扫漏洞
• Sipder
• 手动爬
• 自动爬
• Option
• Scanner
• Extender（http://www.jython.orq/downloads.html）
• Option
• Queue

Intruder

客户端验签

• 浏览器客户端：分析客户端脚本
• APP客户端：反编译客户端程序/探测

Java序列化

• 基于Java的富客户端程序（BurpJDSer反序列化、插件）
• https://github.com/khai-tran/BurpJDSer

Repeater

• Change request method
• Change body encoding
• Copy as curl command

Sequencer

• 分析随机数据的可预测性
• Session cookies
• anti-CSRF tokens
• Start live capture
• FIPS——美国联邦信息处理标准（Federal Information Processing Standard）

Kali里面有很多自带的字典：

Decoder

• smart decode

Collaborator

• 对于无法直接发现的漏洞，通过payload出发 W 与 C 服务器交互
• param=http://rd8bxznao38t15fs234q5vt4ivomcc01.oastify.com
• W DNS解析、HTTP请求发给 C
• 基于密钥的身份识别
• 官方 C、自建C、不用C
• 安全问题：C 短时间在内存中保存数据
• 项目选项->Misc->Burp Collaborator Server

Infiltrator

• 部署在服务器端，注入hook指令，发现存在风险的API调用
• 不可逆的修改服务器端字节码文件
• 会造成性能、稳定性、通信质量、信息泄露等问题（测试环境）
• 仅支持Java（1.4-1.8）、.NET语言环境
• 从Burp导出安装包
• 与Collaborator结合使用

Clickbandit

• 检测点击解除漏洞的客户端脚本
• 不支持微软 IE、Edge浏览器
• Web Developer -> Console