介绍
在测试Web应用程序的安全性时,将很难找到比Portswigger Web Security的Burp Suite更好的一组工具。它让你可以拦截和监视Web流量,以及有关到服务器的请求和响应的详细信息。
Burp Suite中的功能太多,仅需一本指南即可涵盖,因此该指南将分为四个部分。第一部分将介绍如何设置Burp Suite并将其用作Firefox的代理。第二篇将介绍如何收集信息和使用Burp Suite代理。第三部分使用通过Burp Suite代理收集的信息进入一个实际的测试场景。第四指南将介绍Burp Suite必须提供的许多其他功能。
在本指南中,你可以练习在WordPress的自托管实例上使用Burp Suite。
Burp Suite默认安装在Kali Linux上,因此不必担心安装它。实际上,它是Kali live CD上“收藏夹”列表中的应用程序之一。
打开它,然后单击打开菜单。只需使用默认值即可。Burp Suite可以进行一定程度的配置,但是对于基本用法来说并不必要。
设置Firefox
Burp Suite包含一个拦截代理。为了使用Burp Suite,必须将浏览器配置为通过Burp Suite代理传递其流量。使用Firefox(这是Kali Linux上的默认浏览器)并不太难。
打开Firefox,然后单击菜单按钮以打开Firefox设置菜单。在菜单中,单击“首选项”。这将在Firefox中打开“首选项”标签。该选项卡的最左侧是另一个菜单列表。单击最后一个选项“高级”。“高级”标签的顶部是一个新菜单。单击中心的“网络”选项。在“网络”部分中,单击顶部标记为“设置…”的按钮,这将打开Firefox的代理设置。
Firefox内置了许多用于处理代理的选项。对于本指南,选择“手动代理配置:”单选按钮。这将打开一系列选项,使你可以为多种协议中的每一种手动输入代理的IP地址和端口号。默认情况下,Burp Suite在port上运行8080,并且由于你是在自己的计算机上运行它,因此输入127.0.0.1IP。你主要关心的将是HTTP,但是如果你感到懒惰,可以选中“对所有协议使用此代理服务器”复选框。
在其他手动配置选项下面是一个框,允许代理写入豁免。Firefox会同时添加名称localhost和,127.0.0.1,到此字段。删除或修改它们,因为你将要监视浏览器与本地托管的WordPress安装之间的流量。
配置Firefox后,你可以继续配置Burp并启动代理。
配置代理
默认情况下,应该配置代理,但是请花一秒钟时间仔细检查。如果你以后想更改设置,可以按照相同的方法进行。
在Burp Suite窗口中,单击选项卡顶部一行的“代理”,然后单击较低级别的“选项”。屏幕顶部应显示“代理侦听器”,并带有一个带有localhostIP和port 的框8080。左侧旁边应是“运行”列中的复选框。如果是这样,你就可以开始使用Burp Suite捕获流量了。
总结思想
至此,已经将Burp套件作为Firefox的代理运行,并且可以开始使用它来捕获从Firefox到本地托管的WordPress安装的信息。
在下一指南中,将捕获该信息并学习如何阅读并将其分解为可用的部分。Burp Suite可以收集的信息量非常惊人,它为测试Web应用程序开辟了新的可能性。