2.1.1Burp Surite 初探
[toc]
* 說(shuō)明
通過(guò)模擬實(shí)戰(zhàn)敘述在安全評(píng)估中Burp Surite的用法及使用技巧
注:因時(shí)間原因,,內(nèi)容會(huì)不定時(shí)進(jìn)行更新
* 更新日期:2021年1月26日
# 簡(jiǎn)述
Burp Suite產(chǎn)品為您的測(cè)試和掃描活動(dòng)引入了新的自動(dòng)化級(jí)別,,以幫助更快地捕獲更多漏洞,。
* 官網(wǎng)
https://portswigger.net/
* 版本
注:測(cè)試常用專(zhuān)業(yè)版本,,但由于專(zhuān)業(yè)版存在使用限制(要小錢(qián)錢(qián)),,安全起見(jiàn)請(qǐng)自行解決(充值或搜索其它方法,,咳咳點(diǎn)到這里就不細(xì)說(shuō),,咱們開(kāi)始下一話題)
**Burp Suite企業(yè)版:**
為每個(gè)組織提供可擴(kuò)展的網(wǎng)絡(luò)安全
我們?cè)谠O(shè)計(jì)企業(yè)版時(shí),,將簡(jiǎn)單作為首要任務(wù)。發(fā)現(xiàn)簡(jiǎn)單的調(diào)度,、優(yōu)雅的報(bào)告和直接的修復(fù)建議--所有這些都在一個(gè)強(qiáng)大的軟件包中,。
了解更多:https://portswigger.net/burp/enterprise
**Burp Suite專(zhuān)業(yè)版:**
安全專(zhuān)家的強(qiáng)力工具
了解為什么Burp Suite專(zhuān)業(yè)版十多年來(lái)一直是滲透測(cè)試行業(yè)的首選武器,。
https://portswigger.net/burp/pro
**Burp Suite社區(qū)版:**
調(diào)查網(wǎng)絡(luò)安全的手工工具箱
培養(yǎng)下一代WebSec專(zhuān)業(yè)人才,,推動(dòng)網(wǎng)絡(luò)安全強(qiáng)國(guó)建設(shè)。社區(qū)版讓每個(gè)人都能獲得Burp的基礎(chǔ)功能,。
了解更多:https://portswigger.net/burp/communitydownload
* 產(chǎn)品特色
https://portswigger.net/burp
注:由于官方寫(xiě)的太好了,,請(qǐng)自行查閱(偷笑其實(shí)是因我比較懶)
* 官方自嗨
**打擊網(wǎng)絡(luò)犯罪的全球領(lǐng)導(dǎo)者**
每個(gè)新版本的Burp Suite都有一個(gè)共同的祖先。貫穿我們家譜的DNA代表了數(shù)十年來(lái)的卓越研究,。正如行業(yè)一次又一次表明的那樣,,Burp Suite是您可以信賴(lài)的在線安全工具,。
# 挖掘測(cè)試
通過(guò)自身的重發(fā)功能模塊挖掘HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞
* 使用內(nèi)置瀏覽器訪問(wèn)測(cè)試網(wǎng)站,將訪問(wèn)目標(biāo)的請(qǐng)求重發(fā)到重發(fā)功能模塊
或直接在重發(fā)模塊自定義,,如目標(biāo)請(qǐng)求信息等等
* 在請(qǐng)求包中添加Range字段
`Range: bytes=0-18446744073709551615`
* 發(fā)送觀察響應(yīng)信息
響應(yīng)416并存在Requested Range Not Satisfiable字段,,說(shuō)明目標(biāo)存在HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞
注:此為實(shí)戰(zhàn)案例,安全起見(jiàn),,敏感信息模糊化處理
?
問(wèn)答
其他問(wèn)答
暫無(wú)記錄
筆記
{{ item.create_date_fmt }}
{{item.is_public == 1 ?"已公開(kāi)":"未公開(kāi)"}}
筆記審核中
收起
刪除
編輯
{{ item.likes }}
{{ item.likes }}
采集
已采集
資料下載
暫無(wú)記錄
作業(yè)
暫無(wú)記錄
