Burp入门(6)-自动化漏洞测试理论

声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章

声明:本文主要用作技术分享,所有内容仅供参考。任何使用或依赖于本文信息所造成的法律后果均与本人无关。请读者自行判断风险,并遵循相关法律法规。

感谢泷羽sec 团队 的教学

视频地址:burp(4)burp常见用法 以及 漏洞测试理论_哔哩哔哩_bilibili

本文介绍burp漏洞自动化测试理论:抓取数据包放到爆破模块,将所有传参点设置payload,导入像SQL注入、xss等漏洞的payload字典进行测试。

以下只是简单的演示,并无诱导行为。

1. 数据包抓取

  • 目标:首先需要捕获目标 Web 应用的 HTTP 请求和响应数据包。
  • 工具:使用 Burp Suite 的 Proxy 模块来拦截和查看 Web 应用的所有流量。
    • 设置浏览器代理指向 Burp Suite。
    • 使用 Burp Suite 的代理功能来捕获数据包。

2. 确定参数点

  • 目标:在捕获的 HTTP 请求中,识别出需要进行漏洞测试的参数点。
    • 参数点:通常是请求中的 URL 参数、表单字段、HTTP 头部或 cookies 中传递的敏感数据。
    • 通过查看请求的 URL、参数、表单数据 等,可以确定哪些地方可能存在漏洞。
    • 在 Burp Suite 中,可以通过右键点击数据包并选择 Send to Intruder,将数据包中的参数导入到爆破模块进行测试。

3. 配置 Burp Intruder 进行爆破

  • 目标:利用 Burp Suite 的 Intruder 模块,通过爆破的方式对参数点进行测试。
    • 设置参数:在 Intruder 模块中,选择待测试的参数,并设置为可变的攻击点。

4. 导入漏洞字典

  • 目标:为攻击点提供合适的 payload 字典进行测试。
    • SQL 注入字典:包含常见的 SQL 注入攻击 payload,如 OR 1=1、' OR '' = ' 等。
    • XSS 字典:包含常见的 XSS 漏洞攻击 payload,如 <script>alert('XSS')</script>、<img src='x' οnerrοr='alert(1)'> 等。
    • 其他漏洞字典:根据目标应用的漏洞类型,使用相应的漏洞字典(如命令注入、路径遍历等)。
    • 可以把收集到的所有常见漏洞字典整合成一个字典进行批量测试。

字典获取途径

相关推荐
星竹1 小时前
upload-labs-master第21关超详细教程
网络安全
蜜獾云1 小时前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
数据小爬虫@1 小时前
如何高效利用Python爬虫按关键字搜索苏宁商品
开发语言·爬虫·python
袁袁袁袁满2 小时前
100天精通Python(爬虫篇)——第113天:‌爬虫基础模块之urllib详细教程大全
开发语言·爬虫·python·网络爬虫·爬虫实战·urllib·urllib模块教程
LucianaiB5 小时前
探索CSDN博客数据:使用Python爬虫技术
开发语言·爬虫·python
独行soc10 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
Clockwiseee13 小时前
php伪协议
windows·安全·web安全·网络安全
数据小爬虫@14 小时前
利用Python爬虫快速获取商品历史价格信息
开发语言·爬虫·python
小白学大数据14 小时前
如何使用Selenium处理JavaScript动态加载的内容?
大数据·javascript·爬虫·selenium·测试工具