iT邦幫忙

2025 iThome 鐵人賽

DAY 21
0
Security

30天資安啟航:從入門到實戰系列 第 21

Day21:burp的功能總結

  • 分享至 

  • xImage
  •  

Proxy(代理伺服器)最常用
用途:攔截和修改 HTTP/S 流量

主要功能:
瀏覽器流量攔截
請求/回應即時修改
HTTPS 解密
歷史記錄查看

應用場景:
修改表單參數(價格、數量、權限)
竄改 Cookie 和 Session
測試輸入驗證繞過

Repeater(重發器)
用途:手動重複發送和修改請求

特色:
反覆測試 payload
即時查看回應
多標籤同時測試

應用場景:
SQL 注入 payload 測試
不同參數組合驗證
API 端點安全性測試

Intruder(入侵者)

用途:自動化參數攻擊和暴力破解
攻擊模式:
Sniper - 單一參數多個值
Battering ram - 多參數相同值
Pitchfork - 多參數各自的值清單
Cluster bomb - 多參數值組合

應用場景:
密碼暴力破解
SQL 注入字典攻擊
枚舉使用者名稱
測試 OTPS

Scanner(掃描器) 專業版功能

用途:自動化漏洞掃描
檢測類型:

SQL 注入
XSS 跨站腳本
CSRF 跨站請求偽造
檔案包含漏洞
伺服器設定錯誤

Decoder(解碼器)
用途:資料編碼/解碼轉換

支援格式:
URL 編碼
Base64
HTML 實體
Hex 十六進位
雜湊值破解輔助

Comparer(比較器)

用途:比較兩個請求/回應的差異

應用場景:
比較登入成功/失敗回應
尋找隱藏參數
分析時間基礎的盲注

Sequencer(序列分析器)

用途:分析 Session Token 的隨機性
檢測目標:
Session ID
CSRF Token
重置令牌的強度

Extender(擴展功能)

用途:安裝外掛擴充功能
熱門擴展:
Logger++ - 增強日誌功能
Autorize - 自動化授權測試
Param Miner - 尋找隱藏參數

實戰工作流程:

Proxy 攔截 → 瀏覽網站收集請求
Scanner 掃描 → 自動化漏洞發現
Repeater 手動驗證 → 確認漏洞真實性
Intruder 擴大測試 → 參數暴力破解
Decoder 輔助分析 → 編碼解碼處理

/images/emoticon/emoticon08.gif


上一篇
Day20: Burp Intruder:自動化攻擊的引擎
下一篇
Day22:頂尖駭客的起點 — 打造高價值 Kali Purple Lab 的戰略藍圖與心法
系列文
30天資安啟航:從入門到實戰22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言