程序测试工具Burp Suite 17 条常用技巧

摘要：Burp Suite 是一款强大的网络安全工具，得到了全球用户的广泛支持和贡献。Burp Suite 用户社区活跃而富有创造力，经常分享优化使用技巧，帮助渗透测试人员提高工作效率和发现潜在的漏洞。以下是从社区收集的几条精选技巧，分为三个主要类别：

Burp Suite 是一款强大的网络安全工具，得到了全球用户的广泛支持和贡献。Burp Suite 用户社区活跃而富有创造力，经常分享优化使用技巧，帮助渗透测试人员提高工作效率和发现潜在的漏洞。以下是从社区收集的几条精选技巧，分为三个主要类别：

Burp Suite 是一款领先的Web应用程序安全测试工具。它被广泛用于识别和修复Web应用程序中的漏洞。

Burp Suite 最新版下载

Repeater中的滚动切换
在Repeater中启用滚动切换，当参数的值反映在响应中时，可以节省查看变化的时间。

创建默认配置文件
创建一个默认的 project_options.json 文件，避免重复配置项目设置（例如：正则表达式、超时、代理、拦截配置等）。

使用快捷键提高效率

Ctrl + R：发送请求到Repeater

Ctrl + Shift + R：跳转到Repeater

Ctrl + Space：从Repeater发送请求

自定义Intruder负载列表
自定义Intruder的负载列表，以节省时间。

使用负向搜索过滤
在搜索中勾选“负向”匹配，快速排除包含不需要查看的字符串的响应或请求（例如："incap_sess"）。

使用站点地图比较
使用Burp的“工具/目标/站点地图/比较”功能来发现潜在的访问控制问题。

高级范围选项
使用高级范围选项，只使用公司或站点的名称，这样可以过滤流量，帮助发现可能存在的S3桶或其他云存储服务。

启动多个本地代理监听器
启动多个本地代理监听器，并为不同工具指定不同端口，以便可以按端口过滤流量，分析工具行为及其对服务器的潜在影响。

使用“匹配与替换”
使用“匹配与替换”功能，将某些字符串（如 FALSE 变为 TRUE）进行修改，这通常能触发一些有趣的行为。

保存Burp项目并被动分析
将Burp项目保存为文件，并使用gf模式对文件进行搜索，查找敏感信息如密钥和令牌等。

持久化Collaborator会话
通过“SECRET_KEY”，创建脚本并轮询Collaborator，进行持续的漏洞挖掘。

使用“复制为curl”
我承认，除了渗透测试，我还经常用“复制为curl”来作为工程师修复bug时的POC。

来源：小唐科技天地

标签： suite burpsuite burp

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!