Burpsuite介绍：
一款可以进行再WEB应用程序的集成攻击测试平台 。


本文插图
常用的功能：
抓包、重放、爆破
1.使用Burp进行抓包
这边抓包 ， 推荐360浏览器7.1版本(原因:方便)
在浏览器设置代理：


本文插图
360浏览器：工具->代理服务器->代理服务器设置


本文插图
设置好代理：127.0.0.1:8080 -> 确定
Burpsuite下载:
Burpsuite1.6.rar
（这边说下 ， Burpsuite原为收费 ， 打开的时候使用已经破解的补丁就可以正常使用 ， 就是如下的正确打开方式）
打开BurpLoader.jar 进行监听设置：


本文插图
Proxy->Options
我们再仔细看下：
Interface 设置要跟前面浏览器设置的代理服务器一样 。
Running 一定要打勾才可以监听 。
开始抓包：
360浏览器设置：


本文插图
Burp设置：


本文插图
这样在浏览器进行操作就可以抓到包：


本文插图
可以直接在Raw这进行修改包的内容 ， 最后要让包正常传递过去 ， 点击Forward即可 。
不要这个包 ， 点击Drop ， 就可以丢弃 。
进行重放包：


本文插图
鼠标对着Raw的内容右击 ， 最后单击Send To Repeater
之后 ， 你会发现这样的情况：
只需要点击Repeater进入重放功能模块 。


本文插图
想要重放点击Go就可以 ， 从页面可以看到左边是我们抓到的包 ， 右边是包返回的结果 。
进行爆破：
跟上面重放是一样的 ， 右击Raw的内容 ， 点击Send to Intruder
之后也会出现Intruder变黄色 。 还是跟重放一样 ， 进去爆破功能模块 。
设置爆破的参数：
进入后 ， 先点击Clear $
把要爆破的参数后面的值选中 ， 点击Add $


本文插图
设置好后 ， 进行字典的设置 。


本文插图
点击Load可以载入你自己的字典 。
如果要爆破4位数的字典或者5位数的(纯数字) ， 不必自己生成字典 ， 用Burp自带的字典：


本文插图
在进行设置：


本文插图
最后要爆破的时候 ， 点击Start attack
双参数爆破：
分页标题

本文插图
两个参数设置 。
再分别进行字典的导入：


本文插图
【山西赛盾网络安全测评|burp-常用功能】

• 数字山西|太原万科广场塔吊倒塌，3人死亡，住建部处罚来了
• 中新网山西省消协发布消费警示：科学选购儿童口罩
• 山西省消协发布消费警示：科学选购儿童口罩
• 中新网山西太原：开展禁止公共场所随地吐痰宣传活动
• 除1号线一期本线工程外
• 山西各级各类学校全面复学 幼儿园根据自愿返园
• 山西临汾市人大：已介入调查仝卓父亲是否涉案
• 大运河时空|河南、河北与山东、山西，这几个名字来源是哪，是何时成为省名的
• 购票 山西五台山有序开放 继续实行实名预约购票和限流等措施
• 五台山 山西五台山有序开放 继续实行实名预约购票和限流等措施