burp(8)-ip伪造及爬虫审计

免责声明

学习视频来自 B 站up主泷羽sec,如涉及侵权马上删除文章。

笔记的只是方便各位师傅学习知识,以下代码、网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。

泷羽sec官网:https://longyusec.com/

泷羽sec B站地址:泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频

ip伪造

1、安装组件jython-standalone-2.7.0

下载地址: jython-standalone-2.7.0.jar
🔑 其作用是把 Python 代码转换成 Java 代码的编译器

2、安装fakeip.py

下载地址:burpFakeIP

3、使用方法
①、指定伪造 ip

输入后发送的请求就是你伪造的这个ip发出的请求

②、伪造本地 ip
③**、伪造随机ip(** 核心功能)
4、验证-伪造随机ip 发送请求

仅保留xff请求

转至intruder,将xff及密码设为payload

将payload1----payload type设为Extension-generate

选择已安装好的fackip

payload2设置为身份证后六位的字典

设置好后开始爆破

🔑 示例中的网站仅作演示使用,请不要作违法操作

爬虫审计

在burp的Dashboard中有两个任务选项,新建扫描和新建实时任务,如下图所示:

实时任务

实时任务分两种任务类型:实时诊断、实时被动爬虫

实时诊断

作用:对通过代理的所有流量进行实时分析和检测,检测都是通过官方POC进行验证

我们可以通过设置扫描的配置信息来达到想要的效果

选择实时诊断任务-选择任务涵盖的工具范围-选择任务涵盖的网址范围-选择是否排除重复项

设置好后,我们需要进行扫描设置

审计优化

对审计的速度、准确率进行设置

要报告的问题

可按扫描类型选择,也可选择单独的类型,对于一些要检测的问题不了解的还可以查看问题定义

诊断期间处理应用错误
插入点类型
操作参数位置
忽略插入点
常见插入点
其他插入点选项
JavaScript解析

设置完成保存即可

实时被动爬虫

作用:不会主动向目标服务器发送请求,而是通过监听流量来收集信息

设置方法同实时诊断相同

🔑 我们可以将实时诊断任务与实时被动爬虫任务相结合,这样就能在访问网站的同时进行信息收集和实时诊断。爬虫收集到的信息会传到target中方便查看

扫描

扫描任务有两种类型,"爬取和诊断"以及"爬取"

爬取和诊断

作用:爬虫和审计同时进行,主动请求网站进行审计

设置时可对爬虫和审计分别进行设置,具体操作如下:

审计设置方式同上述实时任务中的诊断设置方式相同

设置完成,保存即可

保存好后,即可对设置的URL进行爬取、审计操作

爬取

仅需对爬虫进行相关设置即可

🔑 扫描模块是专业版才能用,社区版用不了

相关推荐
NOVAnet20233 小时前
云网 + 存储一体化灾备方案解析:南凌科技 × 爱数全景云灾备技术与行业落地价值
科技·web安全·企业数字化·企业sd-wan·混合云网络
数据知道11 小时前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Gyr011 小时前
关于证书站捡洞这一档事
安全·web安全
网安蟹佬霸12 小时前
我国网络安全人才缺口现状、成因与对策研究
安全·web安全
云水一下14 小时前
零基础玩转bWAPP靶场(一):从起源到环境搭建,开启Web安全实战之旅
web安全·靶场·bwapp
HackTwoHub14 小时前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全
leagsoft_100317 小时前
从“策略看不清”到“风险可收敛”:某高端精密制造企业的网络安全策略治理实践
网络·web安全·制造
白帽小阳1 天前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳1 天前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub2 天前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构