初步認識Burpsuit

burp suite 是用於攻擊web 應用程式的整合平台，包含了許多任務具。burp suite為這些工具設計了許多介面，以加快攻擊應用程式的過程。所有工具都共享乙個請求，並能處理對應的http 訊息、永續性、認證、**、日誌、警報。

*****–burp suite帶有乙個**,通過預設埠8080上執行，使用這個**，我們可以截獲並修改從客戶端到web應用程式的資料報.

spider(蜘蛛)–burp suite的蜘蛛功能是用來抓取web應用程式的鏈結和內容等，它會自動提交登陸表單（通過使用者自定義輸入）的情況下.burp suite的蜘蛛可以爬行掃瞄出**上所有的鏈結,通過對這些鏈結的詳細掃瞄來發現web應用程式的漏洞。

scanner(掃瞄器)–它是用來掃瞄web應用程式漏洞的.在測試的過程中可能會出現一些誤報。重要的是要記住,自動掃瞄器掃瞄的結果不可能完全100%準確.

intruder(入侵)–此功能呢可用語多種用途,如利用漏洞,web應用程式模糊測試,進行暴力猜解等.

repeater(中繼器)–此功能用於根據不同的情況修改和傳送相同的請求次數並分析.

sequencer–此功能主要用來檢查web應用程式提供的會話令牌的隨機性.並執行各種測試.

decoder(解碼)–此功能可用於解碼資料找回原來的資料形式,或者進行編碼和加密資料.

comparer–此功能用來執行任意的兩個請求,響應或任何其它形式的資料之間的比較.

proxy這個功能是**抓資料報，原理就是通過把127.0.0.1設定為**伺服器，由本機發起的請求都會通過127.0.0.1，然後就可以把請求和響應包都擷取下來。

（1）options一欄如下操作

所有瀏覽器發出的請求和接受的響應都會被burpsuite攔截，我們需要在這個功能中開啟請求

forward：通俗來說就是將包傳送出去

drop:丟棄掉包

action：說明乙個選單可用的動作行為操作可以有哪些操作功能。

burp target

burptarget元件主要包含站點地圖、目標域、target工具三部分組成

幫助滲透測試人員更好地了解目標應用的整體狀況、當前的工作涉及哪些目標域、分析可能存在的攻擊面等資訊

burp spider

burp spider的功能主要使用於大型的應用系統測試，它能在很短的時間內幫助我們快速地了解系統的結構和分布情況。

spider控制

spider控制介面由spider狀態和spider 作用域兩個功能組成。

burp scanner

burpscanner的功能主要是用來自動檢測web系統的各種漏洞，我們可以使用burpscanner代替我們手工去對系統進行普通漏洞型別的滲透測試，從而能使得我們把更多的精力放在那些必須要人工去驗證的漏洞上。

以上。