彩票走势图

程序测试工具Burp Suite 17 条常用技巧

翻译|行业资讯|编辑:胡涛|2024-11-27 10:29:49.333|阅读 6 次

概述:今天小编将给大家分享程序测试工具Burp Suite 17 条常用技巧,欢迎查阅~

# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>

Burp Suite 是一款强大的网络安全工具,得到了全球用户的广泛支持和贡献。Burp Suite 用户社区活跃而富有创造力,经常分享优化使用技巧,帮助渗透测试人员提高工作效率和发现潜在的漏洞。以下是从社区收集的几条精选技巧,分为三个主要类别:

Burp Suite 是一款领先的Web应用程序安全测试工具。它被广泛用于识别和修复Web应用程序中的漏洞。

burp

Burp Suite 最新版下载

节省时间的技巧
  1. Repeater中的滚动切换
    在Repeater中启用滚动切换,当参数的值反映在响应中时,可以节省查看变化的时间。

  2. 创建默认配置文件
    创建一个默认的 project_options.json 文件,避免重复配置项目设置(例如:正则表达式、超时、代理、拦截配置等)。

  3. 使用快捷键提高效率

    • 从Proxy > HTTP History:
      • Ctrl + R:发送请求到Repeater
      • Ctrl + Shift + R:跳转到Repeater
      • Ctrl + Space:从Repeater发送请求
  4. 自定义Intruder负载列表
    自定义Intruder的负载列表,以节省时间。

  5. 使用负向搜索过滤
    在搜索中勾选“负向”匹配,快速排除包含不需要查看的字符串的响应或请求(例如:"incap_sess")。


发现漏洞的技巧
  1. 使用站点地图比较
    使用Burp的“工具/目标/站点地图/比较”功能来发现潜在的访问控制问题。

  2. 高级范围选项
    使用高级范围选项,只使用公司或站点的名称,这样可以过滤流量,帮助发现可能存在的S3桶或其他云存储服务。

  3. 启动多个本地代理监听器
    启动多个本地代理监听器,并为不同工具指定不同端口,以便可以按端口过滤流量,分析工具行为及其对服务器的潜在影响。 

  4. 使用“匹配与替换”
    使用“匹配与替换”功能,将某些字符串(如 FALSE 变为 TRUE)进行修改,这通常能触发一些有趣的行为。

  5. 保存Burp项目并被动分析
    将Burp项目保存为文件,并使用gf模式对文件进行搜索,查找敏感信息如密钥和令牌等。

  6. 持久化Collaborator会话
    通过“SECRET_KEY”,创建脚本并轮询Collaborator,进行持续的漏洞挖掘。

  7. 使用“复制为curl”
    我承认,除了渗透测试,我还经常用“复制为curl”来作为工程师修复bug时的POC。


提高生产力和工作流效率的技巧
  1. 重命名Repeater标签页
    在Repeater中为每个重要的端点重命名标签页,这样可以在多个标签页打开时方便管理。

  2. 使用标签页切换功能
    学会使用Repeater中的前进(<)和后退(>)标签,快速切换请求。

  3. 保存项目文件时精简内容
    在保存项目文件时,只保留范围内的内容,从而减小文件大小。然后使用7zip进行压缩。

  4. 使用“匹配与替换”进行XSS测试
    使用“匹配与替换”功能添加XSS负载(例如:XSS1="'--></style></script><svg oNload=alert()>),每次浏览时都会被替换。

  5. 通过SSH隧道将请求发送到Burp
    通过“ssh -R 18081:localhost:8081”将本地请求发送到VPS上,然后在Burp中设置监听器(127.0.0.1:8081),以便轻松过滤本地和VPS的流量。


如果您有任何问题需了解详情,请联系在线咨询


标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@cahobeh.cn


为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP