?

免費教程_免費網賺教程_破解版軟件-寂涯網絡學習基地

當前位置: 主頁 > 網站相關 > 網站安全 > Burp Suite-SQL INJECTION滲透

Burp Suite-SQL INJECTION滲透

時間:2012-04-26 19:08來源:未知 整理:寂涯網絡 點擊:

介紹
安裝 要求: Java 的 V1.5 + 安裝(推薦使用最新的 JRE )。
入門:
安裝完成后可以雙擊可執行的 JAR 文件,如果不工作,你可以運行在命令提示符或終端輸入。 
命令: Java –jar burpsuite_v1.4.jar
Burp Suite包含了一系列burp工具,這些工具之間有大量接口可以互相通信,之所以
這樣設計的目的是為了促進和提高 整個攻擊的效率。平臺中所有工具共享同一 robust 框
架,以便統一處理HTTP 請求,持久性,認證,上游代理,日志記錄,報警和可擴展性。Burp
Suite允許攻擊者結合手工和自動技術去枚舉、分析、攻擊Web應用程序。這些不同的burp
工具通過協同工作,有效的分享信息,支持以某種工具中的信 息為基礎供另一種工具使用
的方式發起攻擊
Proxy   提供一個直觀、友好的用戶界面,他的代理服務器包含非常詳細的攔截規則,
并能準確分析HTTP消息的結構與內容。
Spide  爬行蜘蛛工具,可以用來抓取目標網站,以顯示網站的內容,基本結構,和其
他功能。
Scanner: Web 應用程序的安全漏洞進行自動發現工具。它被設計用于滲透測試,并密
切與您現有的技術和方法,以適應執行手動和半自動化的Web應用程序滲透測試。
Repeater  可讓您手動重新發送單個HTTP 請求。
Intruder 是 burp 套件的優勢,他提供一組特別有用的功能。它可以自動實施各種定制
攻擊,包括資源枚舉、數據提取、模糊測試等常見漏洞等。在各種有效的掃描工具中,它能
夠以最細化、最簡單的方式訪問它生產的請求與響應,允許組合利用個人智能與該工具的控
制優點。
Sequencer 對會話令牌,會話標識符或其他出于安全原因需要隨機產生的鍵值的可預測
性進行分析。
Decoder 轉化成規范的形式編碼數據,或轉化成各種形式編碼和散列的原始數據。它能
夠智能識別多種編碼格式,使用啟發式技術。
Comparer:  是一個簡單的工具,執行比較數據之間的任何兩個項目(一個可視化的“差
異”)。在攻擊一個Web應用程序的情況下,這一要求通常會出現當你想快速識別兩個應用程
序的響應之間的差異(例如,入侵者攻擊的過程中收到的兩種反應之間之間,或登錄失敗的
反應使用有效的和無效的用戶名)之間,或兩個應用程序請求(例如,確定不同的行為引起
不同的請求參數)。
配置
打開 Burp套件,配置監聽端口
Burp Suite
一旦代理端口選擇和服務在 burp 套件開始,我們需要配置我們的瀏覽器。在大多數瀏
覽器,你只需打開設置-網絡-代理,然后告訴它使用“localhost”和端口“8080”(或任
何您正在運行的端口,默認Burp: 8080)。然后保存更新的設置.
現在我們可以再瀏覽器中輸入我們要檢查的網站。你會看到 burp 套件工具,proxy 選
項卡上會亮起紅色,表示它需要你的輸入。默認行為是攔截設置為ON,這意味著它捕獲的
所有發送請求,然后要求用戶輸入,以決定是否數據包將被轉發或丟棄。你可以轉發,
并觀看頁面載入目標網站。如果你嫌麻煩那你可以INTECEPTOR  Off,只是手動抓取的網站,
將捕獲的數據發送到“歷史記錄”選項卡,你可以手動檢查審查和測試。

 關掉攔截你在歷史記錄里面會看到所有提交過的數據,在這里你可以看到所有
request 和response的數據。現在,我們可以右鍵進行其他的測試。

intruder 定制攻擊自動化
今天我將利用 DVWA 的 SQL 注入進行測試。你可以看到下面的圖片,SQL 注入很簡單,
我們測試:
Burp 攔截我們的要求
我們需要捕捉用戶 ID 請求,點擊提交按鈕,抓取數據包后,用有效載荷測試用戶輸入
的ID值。
要做到這一點,我們必須確保,Burp 攔截我們的要求:

將提交用戶ID的請求,并發送到intruder你可以看到下面:
burp滲透

本頁地址 http://www.ionrce.tw/wangzhananquan/20120426866.html

百度搜索更多

谷歌搜索更多

頂一下
(1)
100%
踩一下
(0)
0%
------分隔線----------------------------
?
評價:
昵稱: 驗證碼:點擊我更換圖片
推薦內容
贊助商
贊助商
?

關于本站免責聲明視頻更新google百度地圖視頻地圖RRS訂閱

如有什么問題請在本站留言,或發郵件到 hxt167#foxmail.com

内蒙古十一选五基本走势图手机版