专栏首页用户6517667的专栏假装在测试 关于 BurpSuite抓包(一)

假装在测试 关于 BurpSuite抓包(一)

来源:测试窝

作/译者:抓包HTTP

BurpSuite主要是用在Web安全测试的一款工具,并且在Web安全测试方面,BurpSuite这款工具非常强大,功能很多,用来抓包在合适不过.

本文主要分两章,第一张介绍BurpSuite界面,抓包,修改请求,修改返回,拦截,请求重发,第二章介绍如何抓取HTTPS

BurpSuite官网

官网提供2种运行平台,一种是exe安装方式,另一种是jar方式,推荐jar方式,只需要有Java的JRE环境即可运行,方便更新

收费版和社区版只是功能上有区别,对于本文即将介绍的功能使用社区版即可

0.前奏

BurpSuit 1.7.30 Community Edition Windows 10 CHrome 65

1.界面以及设置

双击运行以后弹出项目界面,点击NEXT下一步.

项目 然后弹出用户配置界面,点击Start Burp下一步.

用户配置 BurpSuite的主界面

主界面 点击User options选项卡然后 点击Display找到 HTTP Message Display设置成支持中文的字体, Character Set选择User a specific character set 设置成UTF-8,设置完成后对于中文字符的显示不会乱码

字符设置 在Display旁边找到Misc 并在Proxy Interception里选择Always disable默认关闭拦截器,设置完成后 关闭BurpSuite然后重新打开

拦截设置 2.抓包 点击Proxy找到Options查看代理设置,确保Running是√ ,默认是启动状态,如果不是可能存在端口冲突,关闭冲突软件或选中配置后点击Edit进行修改端口,设置浏览器代理地址

代理设置 点击HTTP History查看HTTP代理历史 选中任意一条记录右键可以对其进行其他操作

代理历史 3.修改请求 修改客户端发送到服务器的请求数据 修改请求之前先来配置一下拦截规则,在Proxy下的Options里面找到Intercept Client Requests 然后选择一条,点击Edit修改成入下配置,拦截所有请求 确保 Intercept requests based on the following rules前面有√,规则生效

拦截请求 在Proxy下的Intercept 查看 Intercept is按钮是否显示为on,如果不是点一下按钮(根据最上面的配置默认是off)

打开拦截器 我这里使用POSTMAN发送了一个请求,然后Proxy Intercept都有高亮显示,此时这个请求正在被拦截然后修改请求主体内容,点击Forward放行请求 Forward是放行,通过请求 Drop 是丢弃请求,这条请求服务器不会收到 Action是对这条请求进行其他操作(和HTTP history中对请求右键可进行的操作类似)

修改请求 回到Proxy下的HTTP history选择修改的请求可以查看Original request和Edited request原生请求和修改后的请求

修改记录 4.修改响应 修改服务器发送到客户端的响应数据 在Proxy下的Options 关闭Intercept Client Requests的规则然后修改Intercept Server Responses如下图

修改响应规则 使用POSTMAN发送请求以后,拦截器拦截响应 修改完成后同样点击Forward放行

修改响应数据 在HTTP history可以看到原生响应数据和修改后的响应数据

本文分享自微信公众号 - 软件测试培训(iTestTrain),作者:软件测试培训

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-08-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • postman接口功能测试

      postman介绍:postman是一个开源的接口测试工具,无论是做单个接口的测试还是整套测试脚本的拨测都非常方便。

    小老鼠
  • 基于Django的电子商务网站开发(连载5)

    HTTP的请求方式共分为OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT八种(注意:这些方法均为大写),其中比较常用...

    小老鼠
  • 为什么抢不到口罩?来看看秒杀系统是怎么实现的

     今年这波新型冠状肺炎,对很多公司的后台系统是一个大考,有一朋友,之前主要做医疗药物的云商城,这次服务也被压垮了好几次,几乎每次口罩、消毒水等物品上架,就被秒杀...

    小老鼠
  • Fiddler抓包8-打断点(bpu)

    前言 先给大家讲一则小故事,在我们很小的时候是没有手机的,那时候跟女神聊天都靠小纸条。某屌丝A男对隔壁小王的隔壁女神C倾慕已久,于是天天小纸条骚扰,无奈中间隔...

    上海-悠悠
  • 秒杀系统架构优化思路

    《秒杀系统架构优化思路》 上周参加Qcon,有个兄弟分享秒杀系统的优化,其观点有些赞同,大部分观点却并不同意,结合自己的经验,谈谈自己的一些看法。 一、为什么难...

    架构师之路
  • Ajax爬取街拍美女

    随着今日头条内部代码的不断升级改版,现在网上一些爬取今日头条街拍美图的代码显然不能适用,我利用周末的时间研究了一下如何用Ajax爬取今日头条街拍美图,今天就和大...

    stormwen
  • 推荐三款我常备开发辅助神器

    五一假期过完了,大家都去哪些地方浪了?上班第一天是不是倍感无趣?哈哈,不要紧,今天我来给大家推荐几个神器,让你明天神清气爽,这可是程序员开发必备之良品呀。

    大愚
  • 利用工具思维提升工作效率

    技巅
  • Fiddler抓包2-只抓APP的请求

    前言 fiddler抓手机app的请求,估计大部分都会,但是如何只抓来自app的请求呢? 把来自pc的请求过滤掉,因为请求太多,这样会找不到重要的信息了。 环境...

    上海-悠悠
  • 快速学习Shiro-Shiro中的会话管理

    在shiro里所有的用户的会话信息都会由Shiro来进行控制,shiro提供的会话可以用于JavaSE/JavaEE环境,不依赖于任何底层容器,可以独立使用,是...

    cwl_java

扫码关注云+社区

领取腾讯云代金券