Web应用测试最佳工具Burp Suite

Burp Suite是Web应用程序测试的最佳工具之一，可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞，暴力破解登录表单、遍历数据等等。

Burp Suite是Java编写的，所以在使用前需要安装Jdk环境，这里不进行具体讲解如何安装jdk,安装完成后将jdk相关目录添加到环境变量中。

主要功能如下：

首先，我们看下burp都有哪些功能，并且都是用来做什么的。

• proxy – Burp Suite设置代理，抓取数据包。
• Spider – Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等。
• Scanner – 是用来扫描Web应用程序漏洞的，可以发现常见的web安全漏洞，但会存在误报的可能。
• Intruder – 可进行Web应用程序模糊测试,进行暴力猜解等。
• Repeater – 对数据包进行重放，可分析服务器返回情况，判断修改参数的影响。
• Sequencer – 用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试。
• Decoder – 对数据进行加解密操作，包含url、html、base64等等。
• Comparer – 此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较。
• extender - 加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suite的功能。
• options - 设置burp，字体，编码等等
• alerts - 是用来存放报错信息的，用来解决错误

软件的安装与注册

注册机使用方法：

其实非常简单，仅仅是第一次的时候需要反复复制几次注册码

1、打开注册机：burp-loader-keygen.jar，然后点击run，license text 随便填，然后将生成的license 复制粘贴到打开的burp里，点击next

2、点击manual activation 手动激活

3. 将request 粘贴到activation request ，将自动生成response，再粘贴到burp里最下面的response中，点击下一步

4、激活成功，看到这里应该就不用多说了

需要注意的是：

不要觉得麻烦，今后用burpsuite 只需要先打开burp-loader-keygen.jar ，再点击一下run即可，无需重新激活

如果出现闪退，打不开等等兼容性问题，请下载更新最新版jdk，地址：https://www.java.com/zh_CN/download/

第二次打开burp 要先打开burp-loader-keygen.jar ，再点击一下run，打开软件，否则直接打开主程序还是提示输入 license key。