使用 Burp Suite 抓包

  • A+
所属分类:软件测试
摘要

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

Burp Suite ,百科是这么解释的:

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

使用 Burp Suite 抓包

 

在前面的一篇文章中,就使用到抓包的技术,前面我们是使用的loadrunner,在做一个简单的抓包的事情,使用loadrunner,杀鸡焉用牛刀,小题大作了,接下里我们使用这款工具来抓取我们在 使用Apache自带的ab命令测试网站性能-POST  使用到的数据,OK,开搞。

Burp Suite就是一个JAR包,只需要在电脑上配置好JAVA环境即可运行(java -jar XXX),当然,双击JAR包也可以运行。

浏览器配置

我们推荐使用Firefox作为测试浏览器,进入到Firefox浏览器,然后打开选项,进行如下设置:

使用 Burp Suite 抓包

Burp Suite工具设置

Burp Suite设置,如下图设置即可

使用 Burp Suite 抓包

开始抓包

首先我们需要在Burp Suite的监控停止掉:

使用 Burp Suite 抓包

然后我去Firefox中,打开我们需要抓包的系统,我们直接操作到我们需要抓包数据的位置,然后将Burp Suite的监控状态打开,打开方法同上,再次点击即可。然后我们操作我们的业务,在上面,我们需要抓取到登录提交的数据,因此我们首先打开到登录页面,将数据填写好,然后打开Burp Suite监控

 

使用 Burp Suite 抓包

点击登录,接下来就是见证奇迹的时刻了,看看我们抓到了什么?

使用 Burp Suite 抓包

红色框的东西是不是很熟悉:

username=xiaoqiang1&password=123123&act=act_login&back_act=http%3A%2F%2F192.168.219.130%2Fxiaoqiangshop%2F&submit=

 

获得的这个数据和我们原来获取的数据是相同的,因此,这种方式也是可以的,而且还比较方便,在我们不清楚数据的情况下,使用这种方式能够准确的获取到相关信息。

 

使用Apache自带的ab命令测试网站性能-POST

 

 

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: