BurpSuite之web渗透测试工具

首先呢，先看下BurpSuite渗透工具长什么样子的。个人认为该工具和之前的Fiddler和 Charles抓包工具相比，软件工具功能较多较全，后两者基本的抓包能搞满足日常工作的。

工具的简单实用

一、抓取电脑web端数据

1、电脑已存在burpsuite工具，进行简单的HTTP通讯抓包

2、打开butpsuite工具进行设置IP地址

比如我电脑IP是192.168.68.100 设置任意端口号

3、使用系统管理员权限打开浏览器，设置代理IP和端口（127.0.0.1：xxxx）

4、进行HTTPS通讯抓包，在浏览器中输入http://burp/，下载CA证书并保存在电脑桌面

5、双击导出CA证书进行安装

6、此时就可以打开网页(如百度首页)进行数据抓取了

二、抓手机应用数据

1、在burpsuite中设置如下，这样所有的数据都会通过该代理进行访问

2、手机端点击WiFi---->代理设置为手动，服务器主机和服务端口就输入电脑本机的IP地址和burpsuite上配置的端口，这里是8099

3、通过手机去访问应用，就可以抓取到数据了

三、截断剔除javaScript（js）脚本

1、使用burpsuite进行剔除，需做如下配置

2、使用审计工具进行剔除，比如对上传文件进行JS验证，即打开网页后按F12，找到JS验证的代码片段，直接删除，重新保存网页后重新打开即可