BurpSuite以及官方教程
# BurpSuite以及官方教程
# 1BurpSuite介绍
Burp Suite是一款全球领先的渗透测试工具包,其中包含了许多用于 Web 安全测试的手动工具,具备强大的手动渗透测试功能,可以加快渗透测试的工作流程。
参考:BurpSuite百度百科 (opens new window)
# 1.1版本分类
截至目前,BurpSuite分为社区版、专业版、企业版和DAST版
- 社区版免费使用,功能受限
- 专业版需要付费使用,功能全面
- 企业版费用更高,功能也更加强大
- DAST版免费使用,专门用于 CI/CD 扫描
在实际的工作中,我们使用的主要是 BurpSuite 专业版。
专业版为订阅制,一年449$。按照编写这篇文章时的汇率算,大概 3k¥ 左右,这是一笔不小的费用。但只要你能用它来赚更多的钱,那这点付出就是值得的!
# 1.2版本对比
| BurpSuite社区版 | BurpSuite专业版 |
|---|---|
| HTTP(s) / WebSockets代理和历史记录 | |
| 基本工具: Repeater、Decoder、Sequencer和Comparer | |
| Burp Intruder (示范版) | 包含社区版中的所有内容,以及... |
| 项目文件(保存您的工作) | |
| 编排自定义攻击(Burp Intruder - 完整版) | |
| Web漏洞扫描 | |
| 专业版独家 BApp 扩展 | |
| 搜索功能 | |
| 自动和手动 OAST 测试(Burp Collaborator) | |
| 自动爬虫和发掘要测试的内容 | |
| ......等 |
# 1.3如何免费使用专业版?
网上很多教程,搜一下就有了,我这里就不教了。
(懂得都懂)
# 2Web Security Academy介绍
Web Security Academy 是 BurpSuite 官方配套的网络安全学院。
在这里,你可以将两者配套使用:
- 根据官方提供的学习路径,学习主流漏洞的理论知识。同时学习工具 BurpSuite 的使用,建立网络安全测试技能
- 在官方提供的实验室(靶场)中,对每一种漏洞进行实操练习,掌握漏洞实践技能
# 2.1充分利用网络安全学院的方法(官方说明)
如果您不熟悉 Web 安全,可能不知道从哪里开始。这就是为什么我们创建了这个建议的学习路径,为你指明正确的方向。
我们建议您一有空就去完成实验,但是,如果您遇到困难,请不要害怕继续下一个主题。一旦你进一步发展了你的技能,你就可以回到更具挑战性的实验室。
完成实验没有设定的时间范围,但您必须能够在 不需要访问解决方案 的情况下完成。
# 2.2学习路线
截止 2023 年 03 月,Web Security Academy 提供了以下三个主题,共 24 种漏洞、1 个基本技能的学习。
- 2023 年 07 月,高级主题新增 “GraphQL” 学习路线,总共有 25 种漏洞的学习。
- 2023 年 09 月,服务端主题新增 “条件竞争” 学习路线,总共有 26 种漏洞的学习。
- 2023 年 09 月,服务端主题新增 “NoSQL 注入”(非关系型数据库注入)学习路线,总共有 27 种漏洞的学习。
- 2023 年 ??? 月(忘了),服务端主题新增 “API 测试” 学习路线,总共有 28 种漏洞的学习。
- 2024 年 01 月,高级主题新增 “Web LLM 攻击”(大语言模型攻击)学习路线,总共有 29 种漏洞的学习。
截止 2024 年 02 月,共 29 种漏洞、1 个基本技能的学习。
| 服务器端主题 |
|---|
| 01. SQL注入(SQL injection) |
| 02. 身份验证(Authentication) |
| 03. 目录遍历(Directory traversal) |
| 04. 命令注入(Command injection) |
| 05. 业务逻辑漏洞(Business logic vulnerabilities) |
| 06. 信息披露(Information disclosure) |
| 07. 访问控制(Access control) |
| 08. 文件上传漏洞(File upload vulnerabilities) |
| 09. 条件竞争(Race conditions) |
| 10. 服务器端请求伪造(SSRF,Server-side request forgery) |
| 11. XML外部实体注入(XXE injection) |
| 12. NoSQL注入(NoSQL injection) |
| 13. API 测试(API testing) |
| 客户端主题 |
|---|
| 01. 跨站脚本攻击(XSS,Cross-site scripting) |
| 02. 跨站请求伪造(CSRF,Cross-site request forgery) |
| 03. 跨源资源共享(CORS,Corss-origin resource sharing) |
| 04. 点击劫持(Clickjacking) |
| 05. 基于DOM的漏洞(DOM-based vulnerabilities) |
| 06. 网络套接字(WebSockets) |
| 高级主题 |
|---|
| 01. 不安全的反序列化(Insecure deserialization) |
| 02. Web LLM 攻击(Web LLM attacks) |
| 03. 测试 GraphQL API(Testing GraphQL APIs) |
| 04. 服务端模板注入(SSTI,Server-side template injection) |
| 05. Web缓存中毒(Web cache poisoning) |
| 06. HTTP主机头攻击(HTTP Host header attacks) |
| 07. HTTP请求走私(HTTP request smuggling) |
| 08. OAuth身份验证(OAuth authentication) |
| 09. JWT攻击(JWT,JSON Web Token) |
| 10. 原型链污染(Prototype pollution) |
| 11. 基本技能(Essential skills) |
编辑 (opens new window)