Burp Suite 是許多WEB安全測試人員耳熟能詳的工具,
但你真的了解Burp所能做到的功能嗎?
希望能藉由這系列文章讓大家了解Burp這項安全測試工具,
當然同時也是讓自己能夠更加精通Burp。
原本標題打算命名「從入門到精通」這種標題,
仔細想想可能也不是那麼入門,也不會這麼精通,也許不是這麼適合。
想說改用「完整詳細」教學,但是雖然我是有打算努力盡可能完整提到所有功能,
可是許多地方也許沒辦法這麼詳細,所以最後還是從簡命名吧!
就叫「Burp Suite 完整教學」了。
本篇文章會作為整個系列文章的目錄
寫在前面
基本功能與操作
- 無痛入門 – Burp與瀏覽器的Proxy設定
- Proxy 基本原理與監聽127.0.0.1
- 不安全的連線?HTTPS與SSL憑證
- HTTP請求攔截與Proxy的各項功能
- Target與Site Map了解整個網站架構
- 因為我已鎖定你 – 妥善利用 Scope 狙擊目標
- Spider網路爬蟲與Cawler設定
- Scanner網站弱點掃描 – Active vs. Passive
- 利用Scanner發現網站中可能存在的風險漏洞
- Decoder 那些讓人看不懂的東西是甚麼
- Intruder 帳密暴力破解與列舉FUZZING找漏洞的好幫手
- Intruder Attack type & Payloads – 擁有千種姿態的攻擊模式
- Intruder 如何觀察與判斷堆積如山的結果
- 看似平凡卻最常被使用 – Repeater 手動挖掘與驗證漏洞
- Comparer 大家來找碴,不如讓工具幫你解答
- Find comments 當個乖寶寶好好寫註解,我看你是沒有遇過壞人
- 記住了,在網路的世界裡只有IP是真實的。
- Change reuqest method 甚麼是 HTTP Method?
- User options 關於使用者體驗
- Burp Suite 已經提供給你了最便利的 C2 Server
- Generate CSRF PoC 偽造跨站請求漏洞利用產生
- Sequencer 分析你的 Session Cookie 與 Token 規律性
- Project options – Macros 讓機器人幫你做事
Extensions
- 這些功能還不夠嗎?來開外掛吧!Burp Exterder擴充功能 – BApp Store
- JSON Beautifier – 美化你的JSON格式資料,讓一切看得更清楚
- ActiveScan++ 提升 Scanner 的弱點掃描能力
- 利用 Autorize 測試角色權限區分與IDOR漏洞
- HTTP Request Smuggler 這次我們不切割次元 來切割HTTP
- SAML Raider – SAML Assertions與XSW攻擊
補充
- 從Burp Suite 1.7 到 2020.11發生了甚麼事?
番外篇
本系列的文章為作者參與第 12 屆 iT 邦幫忙鐵人賽的文章修改
原文連結 https://ithelp.ithome.com.tw/users/20114110/ironman/3806
请问下,java三年基础,中专学历,想想学习网络安全的技术,有没有推荐的网站或者博客呢?
看到你是用簡體字, 那推薦你freebuf
上面雖然文章內容參差不齊, 但還是有許多優質文章
可以從喜歡的作者開始著手, 很多大神在上面有一系列的文章