一、浏览器设置代理
如下图所示,点击火狐浏览器的"扩展和主题",搜索"代理"。
如下图所示,选择搜索到的第一个代理(选择任何一个都可以)。
如上图所示,第一个点击后,进入如下页面,点击"添加到Firfox"按钮,并依次点击"添加(A)"、"好的(O)"。
该插件添加好后,如下图所示,设置该代理插件权限。
如下图所示,点击该代理,进入代理启用、停用、设置页面。
如下图截图所示,依次点击"选项"、"Proxies"、"添加"(填写如下内容),点击"save"按钮,则新代理新增成功。
如下截图所示,新代理新增成功后,再次进来,选中或选中"Disable"来启用新代理或停用新代理。
二、Burp注册
如下图所示,在burp注册机所在目录,打开cmd黑窗口,输入java -jar burp-loader-keygen-2_1_07.jar 【注意,burp需要jdk1.8及以上版本】。
具体操作过程见:Burp注册-CSDN博客
安装包下载见:https://download.csdn.net/download/XiaoXiao_RenHe/89550346
三、Burp设置
1、Burp设置中文显示
2、Burp设置代理
四、Burp抓包(要扫描安全的功能)
**启用浏览器的代理后,启用Burp的代理后,且启用Burp的"拦截请求"功能后,**确保当前浏览器只访问待测试的应用程序,浏览器上一操作,就会被Burp拦截,我们为了抓包,直接点击"发送"按钮(浏览器上操作一步,可能要点击多次"发送"按钮)。
如下图所示,我们切换到"HTTP历史记录"页签,Ctrl+A全选刚才抓到的包,然后右击,选择"扫描"。
如下图所示,点击"整合物品",可以过滤掉无需扫描的链接,点击"OK"后,进行安全扫描。
五、Burp安全扫描
如下图所示,加入扫描任务后,就等待扫描结束(可能时间比较长)【注意此种扫描方式用于测试环境,因为扫描时会进行攻击尝试,会给测试环境添加好多测试数据】。
六、Burp安全问题查看及解决建议
如下图所示,点击"顾问"页签,可以查看安全问题描述、该安全问题示例、建议解决方法、该安全问题分类。