Burp Suite 各个模块的使用说明,零基础这一篇就够了!
0x00 前言Burp Suite (简称BP下同)是用于攻击web 应用程序的集成平台。它包含了许多工具并为这些工具设计了许多接口以促进加快攻击应用程序的过程。从本节开始将为大家陆续带来BP各个模块的使用说明0x01 中间人攻击中间人攻击Man-in-the-MiddleAttack简称“MITM攻击”是一种“间接”的入侵攻击这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间这台计算机就称为“中间人”。0x02 核心功能—Proxy数据是一切的基础Proxy代理模块主要用于拦截浏览器的http会话内容给其他模块功能提供数据Proxy模块如下图所示Proxy模块由四个部分组成分别是Intercept、HTTP history、Websockets history、options接下来分别演示使用2.1 Intercept这个词学汇编和逆向的同学肯定是非常熟悉了就是截断的意思这里控制整个代理模块是否使用截断模式。TIPS在BP新版本中增加了专用的浏览器方便进行渗透测试如果是使用低版本的同学可以在浏览器中手动设置网络代理手动修改代理设置是一件很繁琐的事这里推荐大家使用SwitchyOmega插件方便快速的切换代理设置当截断模式处于关闭状态时BP可以视为正常的代理服务器反之当截断模式处于开启状态下所有符合条件的数据包都将被拦截等待处理当拦截到新的数据包后对应的标题会高亮显示此时我们就可以对数据包进行修改了修改完成后点击发送(Forward)将修改后的数据包发送(放包)如果看着数据包不舒服可以点击丢弃(Drop)(弃包)在行动(Action)一栏中存在很多选项可以将proxy中的数据包发送至其他模块中2.2 HTTP history这里记录了每一个HTTP数据包可以通过此功能查看历史数据包点击过滤器可以设置过滤选项在记录中可以查看每一个数据包的明细(请求和响应)并可以发送到其他模块2.3 Websockets history该功能和HTTP history十分类似实际中很少用到查看历史数据包设置过滤器2.4 options该部分主要用于配置proxy接下来逐个演示代理监听器可以理解为设置数据的来源可以开启多个配置CA证书部分比较繁琐留以后单独出一期拦截客户端请求该部分用于配置请求数据包的拦截条件支持多条规则同时匹配现在增加一条规则拦截所有目标IP为123.123.123.123的数据包配置了多条规则后可以很方便的选择开关自动更新Content-Length选项主要用于修改数据包后可以自动计算长度在一部分情况下需要关闭该功能(比如想DOS)服务器响应拦截和修改该部分主要配置响应数据包的拦截条件及自动修改注意该功能默认是关闭的需要手动开启和请求拦截很类似允许自定义拦截条件同时还支持一些常用选项比如删除JS的表单验证匹配和替换该选项允许对请求和响应中的数据进行自动查找和替换十分有用网络安全学习资源网上虽然也有很多的学习资源但基本上都残缺不全的这是我们和网安大厂360共同研发的的网安视频教程内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识而且包含了中级的各种渗透技术并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频100多本网安电子书最新学习路线图和工具安装包都有不用担心学不全。这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源

相关新闻

收藏备用|DeepSeek爆火后,后端转AI大模型工程化工程师,看这篇就够了

收藏备用|DeepSeek爆火后,后端转AI大模型工程化工程师,看这篇就够了

随着DeepSeek的持续爆火,AI大模型领域迎来新一轮爆发,与之对应的大模型工程化开发岗位需求也水涨船高,成为当下最具潜力的职业方向之一。但很多后端工程师在想转型AI大模型工程化工程师时,却陷入了迷茫:不知道该学什么…

2026/7/4 17:40:30 阅读更多 →
display: inline 详细讲解一下

display: inline 详细讲解一下

display: inline 详细讲解一下 display: inline 是 CSS 中最基础的布局属性值之一,理解它对于掌握网页布局至关重要。 简单来说,display: inline 的作用就是让元素像“文本”一样排列。 为了让你彻底掌握它,我将从它的核心特性、与 block …

2026/7/5 15:33:38 阅读更多 →
函数占位参数:语法规则与实际应用场景

函数占位参数:语法规则与实际应用场景

函数占位参数:语法规则与实际应用场景 在C函数编程中,我们除了常用的普通参数、默认参数,还有一种特殊的参数形式——函数占位参数(Placeholder Parameters)。它的语法非常独特:只声明参数类型&#xff0c…

2026/7/6 23:50:09 阅读更多 →

最新新闻

实战复现CitrixBleed 2漏洞:从内存越界读取到会话劫持

实战复现CitrixBleed 2漏洞:从内存越界读取到会话劫持

1. 项目概述:一次针对企业核心边界的实战化漏洞复现最近在梳理企业边界设备的安全风险时,我又一次把目光投向了Citrix NetScaler。作为全球范围内广泛应用的应用交付控制器(ADC)和网关设备,它承载着大量企业的关键业务…

2026/7/7 11:15:02 阅读更多 →
5分钟上手:Switch图形化注入工具TegraRcmGUI终极指南

5分钟上手:Switch图形化注入工具TegraRcmGUI终极指南

5分钟上手:Switch图形化注入工具TegraRcmGUI终极指南 【免费下载链接】TegraRcmGUI C GUI for TegraRcmSmash (Fuse Gele exploit for Nintendo Switch) 项目地址: https://gitcode.com/gh_mirrors/te/TegraRcmGUI TegraRcmGUI是一款专为Windows平台设计的Ni…

2026/7/7 11:13:01 阅读更多 →
品牌全案策划服务如何选择?2026年企业需关注的5个维度

品牌全案策划服务如何选择?2026年企业需关注的5个维度

品牌全案策划服务是企业建立系统性品牌体系的核心环节,需要从服务范围、团队专业度、数据能力、执行经验和成本结构五个维度综合评估。品牌全案策划服务是指为企业提供从品牌战略规划到视觉设计、营销推广、运营维护的一站式综合性服务。据QYResearch调研数据显示&a…

2026/7/7 11:13:01 阅读更多 →
从RSA到ML-KEM:密钥封装机制演进与后量子密码迁移实战

从RSA到ML-KEM:密钥封装机制演进与后量子密码迁移实战

1. 密钥封装机制:从信任基石到量子威胁下的重塑如果你在2024年之前配置过TLS证书,或者调试过SSH连接,那么“RSA密钥交换”这个概念对你来说一定不陌生。它就像互联网世界的“信任邮差”,几十年来默默无闻地保障着我们每一次网页浏…

2026/7/7 11:11:00 阅读更多 →
USVInland 数据集实战:基于 27 段序列的 SLAM 与水体分割算法评测

USVInland 数据集实战:基于 27 段序列的 SLAM 与水体分割算法评测

USVInland 数据集实战:基于 27 段序列的 SLAM 与水体分割算法评测水面无人驾驶技术正迎来前所未有的发展机遇,而高质量的数据集是推动算法进步的关键基石。USVInland 作为全球首个专注于内河航道场景的多传感器数据集,为研究者提供了丰富的真…

2026/7/7 11:11:00 阅读更多 →
数据库一体机简史:从ODA到zData X,命名之中的玄机

数据库一体机简史:从ODA到zData X,命名之中的玄机

在Exadata问世三年之后,Oracle公司于2011年9月在旧金山Oracle OpenWorld大会上正式发布了其数据库一体机的低端产品ODA(Oracle Database Appliance,如图1所示)。有意思的是,从命名上看,ODA才是真正意义上的…

2026/7/7 11:08:59 阅读更多 →

日新闻

鸿蒙新特性:图片画廊与轮播导航——构建沉浸式图片浏览体验

鸿蒙新特性:图片画廊与轮播导航——构建沉浸式图片浏览体验

图片浏览是移动应用中最高频的场景之一。从社交应用的照片流到电商平台的商品图集,从旅游应用的景点相册到摄影作品展示——用户对图片浏览的体验要求不断提高:流畅的切换动画、直观的缩略图导航、便捷的收藏操作、自动播放模式。HarmonyOS NEXT ArkUI 虽…

2026/7/7 0:05:16 阅读更多 →
24V DC-DC降压芯片PW2312B/PW2815,SOT23-6到SOP8-EP方案对比

24V DC-DC降压芯片PW2312B/PW2815,SOT23-6到SOP8-EP方案对比

24V稳压芯片完整选型指南 PW8600 PW75XX PW2815 PW2312B LDODC/DC全方案 一、24V稳压方案概述 24V直流电源在工业自动化、门禁系统、电梯控制、汽车电子、LED驱动、监控设备等场景中应用极广,是最常见的中压直流母线电压。要将24V母线稳定降压至下游MCU、传感器…

2026/7/7 0:05:16 阅读更多 →
RAG+知识图谱混合检索与Graph RAG核心对比

RAG+知识图谱混合检索与Graph RAG核心对比

做企业RAG落地的团队,往往容易卡在一容易踩坑的选型难题: 当需求单纯靠向量RAG搞不定、单纯靠知识图谱也搞不定,必须同时依赖「文本语义理解 实体关系推理」时,到底是做「向量图谱混合检索」就够了,还是必须上「Grap…

2026/7/7 0:07:19 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/6 8:11:50 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/6 8:11:52 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/6 6:52:56 阅读更多 →

月新闻