江湖秘笈：元宵佳节人团圆 手持BurpSuite神器搞定一切目标终端漏洞工作

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。今天是中国传统节日中的正月十五日，也是一年一度的元宵佳节。

相信北方的朋友们对这天一定不会感到陌生，特别是小时候的时候，家人总是围坐在炉火边，然后旁边摆着一个江米面盆，里面是和好的江米面，然后另外一个盆子中是调好或买好的馅料，然后大家有说有笑的一同搓着汤圆一边下锅煮。

当然，也有些相对比较富裕的家庭会选择直接买现成的元宵煮着吃。

可能现今的很多年轻人对这一天并不太了解，在过去，新年要到正月十五过完才算正式结束，因为这一天中同样是一大家子人坐在一起团员的日子，氛围十分快乐。

好啦，说过元宵节之后，开始进入到等保分享时间。

网络安全等级保护系列（六）

今天我们要聊一聊等保中机房防雷、防火话题。

1

防雷

防雷，顾名思义是对雷电的抵抗性和相抵性。

为何机房会有此类要求呢？

这是因为机房中所存放和使用的设备为高精密电子类设备，如果遭遇到雷电的接触，会直接导致设备芯片出现烧毁，严重的可能引发火灾出现。

因此机房在建设中，有明确要求具备抵抗和消抵雷电的能力，只有这样，在遇到雷雨天气时，才不会因为漏水传导或直接雷电击入对设备造成伤害的情况。同时也可以降低火灾出现的几率。

2

防火

接下来再来说一说防火的内容，防火顾名思义就是针对火灾的一种预防和消除能力。

可是都有哪些情况会引发机房中火灾情况的出现呢？这个就需要看官们了解下。

引发火灾的几个必要条件

1、过于干燥，且空气流通性不畅的环境；

2、在密闭的环境中堆放易燃易爆类物品（如油漆、酒精、纸盒、丝绵类针织品等）

3、老化的胶质线路、裸露且容易发生接触的零线和火线线头。

当然，还有其它很多种情况，如在机房抽烟、使用打火机引燃等行为也同样很危险。

3

机房内的注意事项

在简单了解过火灾出现的根源后，我们再来一起看下机房内的情况。

1

为了很好的进行防静电处理，很多机房都会采用复合板或刨花板等作为机房地板的材质，而在地板的上与下又都存在这各式各样的线路。如电线、网线等，错综复杂。

如果此时因为某根不知用途的线路在出现老化后未能及时更换，或是因为损伤出现线头裸露，发生零线与火线的碰撞，那么势必引发一场无法估量的火灾出现。

要知道，电器类设备及线路发生火灾时，是很难轻易被扑灭的。因为火源会随着线路不断的改变自有行进方向，使灭火人员无从下手。

2

这也使得在不同类型的机房中存在着各式各样的灭火方式。

有的采用干粉灭火器、有的采用气体灭火（七氟丙烷、混合气体IG541、二氧化碳、惰性气体等），当然有些地方会采用风电灭火的方式。

不论是那种灭火方式，它们的最终目标都是消灭火情，降低更大的损失出现。

因此，日常机房巡检要极为注意，不光要查看设备是否存在损坏、运行异常，还要知晓线路是否老化等。所以细心是必不可少的。

经过这样的讲解，相信众位看官们都对等保中防雷与防火的规定有明确了解了吧，那么我们开启下一个内容，技术分享话题。

神器BurpSuite中的一个插件

今天要为看官们进行分享的技术话题呢，是有关提升漏洞扫描能力的插件工具。

BurpSuite介绍

它的名字叫做HUNT，是BurpSuite工具中的一个插件名，因此还请看官们多多注意，不要因为出现不同的名字就将它们混淆。

可能有很多资深的看官们都用过BurpSuite工具，特别是经常喜欢到技术社区进行交流的看官们，一定知晓它有免费版和专业版两种。

在我们平时的工作当中，这款工具也同样不失为是一款神器，它和我们经常用到的Sqlmap一样极其厉害。

BurpSuite的强大功能

BurpSuite工具的主要作用主要集中在拦截和修改流量包及检测常见Web漏洞等方面，又是也会对常规的加密/解密、入侵、重放等进行接触。

不管是免费版，还是收费的专业版，该工具都提供了一定量的插件可供看官们选择和使用，这让我们这些从事安全维稳工作的幕后工作者们轻松的完成渗透工作。

从BurpSuite工具所提供的的众多插件中，如果非要较真哪个插件更为好用，2 cats大侠我个人会推荐“CO2”，该插件是调用Sqlmap进行快速检测等操作时使用，提供良好的图形界面，还有相关的参数可供选择。

在进行Sqlmap注入时，可以减少庞大的代码操作记忆量。

工具演示

现在进入实验展示环节：

1

先下载一个BurpSuite工具。

2

下载时我们需要对BurpSuite进行配置。

1、jar文件位置

2、HUNT模块位置

3

然后进行插件加载，就可以看到成功提示了。

4

在插件加载成功时，看官们可以看到下图中展示的效果。

5

HUNT Scanner插件支持下列漏洞类型：

1、SQL注入；

2、本地/远程文件包含&路径遍历；

3、服务器端请求伪造&开放重定向；

4、OS命令注入；

5、服务器端模块注入；

6、跨站脚本（XSS）；

7、外部实体注入；

8、恶意文件上传；

从上述的描述中，相信看官们已经对它有所了解了。

由于今天是元宵佳节，因此2 cats大侠我临时到此结束，祝大家元宵佳节快乐。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！