Web扫描工具-Burpsuite

Burpsuite

  • Web安全工具中的瑞士军刀
  • 统一的集成工具发现全部现代安全漏洞
  • PortSwigger公司开发
  • 所有的工具共享一个能处理并显示HTTP消息的可拓展框架,模块之间无缝交换信息。
  • 字体调成中文

proxy

  • Options
    • Invisible(主机头/多目标域名)
    • CA(导入/导出)

Intruder

  • Position
    • Sniper
      • 逐一变量进行内容插入,其它变量不变
    • Battering ram
      • 两个位置同时插入同样值
    • Pitchfork
      • 成对
    • Cluster bomb
      • 尝试所有排列组合
  • 熟悉操作

Repeater

  • 熟悉操作

Sequencer

  • 分析程序中可预测的数据
    • Session cookies
    • anti-CSRF tokens
    • Start live capture
      • Analyze(数据越多分析越准确)
      • 伪随机数算法
      • Character-level
      • Bit-level
  • FIPS——美国联邦信息处理标准(Federal Information Processing Standard)

Decoder

  • 熟悉操作

Compare

  • 熟悉操作

其它扫描器

  • AWVS

  • AppScan