<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("burpsuite ,spider,") PageTitle=stripHTML("BurpSuite连载四--Spider(蜘蛛爬行)") ArticleIntro=stripHTML("再次跟大家见面了,今天为大家介绍burpsuite的第四篇,我都详细的不能再详细的告诉你了,你还不看!你对得起本宝宝嘛。") Articlecontent=stripHTML("        Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登…") ModuleName = stripHTML("hack") InfoID = stripHTML("228391") ChannelShortName=stripHTML("Hack") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("hack") %> BurpSuite连载四--Spider(蜘蛛爬行) - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> Hack >> 原创推荐 >> 正文

[组图]BurpSuite连载四--Spider(蜘蛛爬行)

2016/8/18 作者:Regina-h… 来源: 本站原创
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

     

  Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。小编会持续为大家介绍burpsuite这个软件,今天我们就来主要讲讲spider这个功能,首先先介绍一下burpsuite的全部功能:

  Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。

  Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。

  Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。

  Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。

  Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。

  Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

  Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。

  Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

  Spider(蜘蛛)--Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)的情况下.Burp Suite的蜘蛛可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。

  比如我们今天就要访问www.77169.com

  首先,打开这个网页,然后把我们浏览器的代理打开,这个一定要先打开网页在开代理。

  

  在BURPSUITE中的Proxy----Intercept中调成intercept is on

  

  在Proxy—options中选中要选择这个IP,这里的IP一定要跟浏览器代理中的IP一样

  

  一切准备就绪,现在只需要刷新页面就开始跑了

  

  这是跑到intercept中的 我们右键选择send to Spider

  

  现在我们可以看到 Target 与Spider都开始活动了,Spider功能开始爬行

  

  Target 开始显示了目录

  

  接下来我们进入Spider标签,点击”options(选项)”,我们可以设置各种选项当运行Burp检测应用程序的时候.我没有可以让Burp检查robotx.txt文件(check for the robots.txt),它会尝试抓去网站管理员不允许搜索引擎索引的目录.另外一个重要的选项是”passively spider as you browse(被动蜘蛛浏览)”。基本上Burp Spider可以以被动和主动模式运行,选择这个就要求Burp Spider保持新的内容和链接进行扫描,因为我们浏览应用程序的时候使用了Burp proxy。

  

  另外一个重要的选项是”application login(应用程序登陆)”.一旦Burp Spider提交一个登陆表单的时候就开始爬行(抓取).它可以自动提交我们提供给它的证书.我们同样可以设置admin/password凭证,设置好之后,他们会做为DVWA中的凭证.因此Burp Spider可以自动提交那些信息凭证,并且保持爬行抓取的状态希望能够获得更多的新的信息.你也可以在thread(线程)项来修改线程数.

  

  这里显示spider is running ,这里可以选择取消爬行或者清除。

  



  • 上一篇Hack:

  • 下一篇Hack: 没有了