安全测试工具Burpsuit和OWASP ZAP使用入门指南

Burpsuit使用入门指南

安装：

• 网上有很多相关相关保姆级别教程，所以这里不加赘述了
• 尽量使用java8版本，破解版兼容8做的比较好
• 如果发现注册机无法打开或者能打开注册机【run】无法点击唤起软件安装，可以使用命令行工具
  • java -jar burp-loader-keygen.jar
  • java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v2.0.11.jar 或者 java -Xbootclasspath/a:burp-loader-keygen.jar -jar burpsuite_pro_v2.0.11.jar

使用指南：

运行vbs文件运行安装好的burpsuit软件

• 漏洞扫描

burpsuit提供了自动化的方式对普通漏洞进行渗透测试，通过如下步骤就可以实现自动化扫描。我们通过【目标】-【目标范围】来设定我们自动化测试范围（如下图所示）

在【目标】-【网站地图】设置爬行过滤

设置了我们测试网址后，我们【仪表盘】-【新扫描】新建任务

• 代理

首先我们通过【代理】-【选项】设置代理监听，接着我们在浏览器中配置手动设置（注意要把http和https都配置代理），这样我们就可以在burpsuit报文管理

• 测试器（发送Intruder）

对设置目标ip进行自动化攻击，漏铜利用、模糊测试、暴力破解

在【测试器】-【位置】，选中你要参数化的地方（红色框框部分）点击【添加$】这样就实现参数化

这里我们有四种攻击类型：

1. 狙击手（一个字典，两个参数）：狙击手单点模式，将数据逐一填充到指定位置
2. 破城锤（一个字典，两个参数）：将数据同时填充到多个指定位置，例A字典的数据同时填充到两个位置
3. 音叉（两个字典，两个参数）：将每个字典逐一对称匹配，例如A字典的1号位与B字典的1号位匹配，绝不相交匹配
4. 集束炸弹（笛卡尔积，两个字典，两个参数）：将每个字典逐一交叉匹配，例如A字典的所有位与B字典的所有位都匹配

攻击后就可以查看【结果】

• 重发器（发送repeater）

通过修改请求参数，来查看返回结果并进行分析

• 定序器（发送sequencer）

用于检测数据样本数据随机质量的工具，例如我们的session、token是否可以被预测被伪造风险。

ZAP使用入门指南

下载地址：https://www.zaproxy.org/download/

自动化测试

我们要做的只有两步：第一步输入目标网址，第二步点击攻击

手动模式（顾名思义就是手动代替自动扫描，针对更强）

先要配置浏览器驱动

配置上面的驱动就可以启动火狐浏览器，并在浏览器上面进行操作，而你的操作过程中也可以选中某一个进行【攻击】

模糊测试（Fuzz）

目标网址【右键】-【攻击】-【Fuzz】

报告

选中【报告】-【生产报告】