web-dev-qa-db-ja.com

確かなBURPチュートリアルはどこにありますか?

BURPを学習/構成するための優れたリソースを探しています。フレームワークの使用の背後にある概念を理解し、サイトのドキュメントを読みましたが、誰かが確かなチュートリアルリンクを持っている場合は、ぜひご覧ください。私はこれをウィキにしましたが、大きなリソースをコンパイルするつもりはありません。いくつかのしっかりしたリンクが欲しいので、質問を閉じます。

事前構成されたBURPセットアップへのリンクも歓迎されます。

もう少し具体的に言うと、ステルス性と大量のページを制御する機能とフラッディング機能を好むため、手動スパイダーの理想的な設定に特に興味があります。

20
mrnap

Burpの使用方法に関するアドバイスとともに、以下をカスタマイズすることも忘れないでください。

フォーム送信:

Burpから送信されたフォームに適切な名前と値を設定するには、「Weiner」を送信したくないと思います:-)

げっぷウィンドウ内で-「スパイダー」タブに移動し、次に「オプション」メニューに移動します。ここから、formsセクション内の標準値を更新する必要があります。

Form

各値をクリックして「編集」を選択し、値を変更してから「更新」フィールドをクリックしてから、次の値を選択します。

Update

ペイロード:

Burp内で使用されるデフォルトのペイロードを編集することもできます。これは、.jarファイルを解凍することで実行できます。この例では、7Zipを使用して最新のBurpファイルを解凍します。

まず、.jarファイルを右クリックし、[7Zipで開く]を選択します。これは表示されます:

7Zip

次に、burp\PayloadStrings\

strings

このフォルダーから、fuzzing-full.payを選択します。このファイルには、特定のニーズに合わせて構成できるオプションが表示されます(次の画像で強調表示されています)。

payload

クモ:

手動スパイダーの場合、Burps独自のヘルプページに次のアドバイスがあります。

閲覧中のパッシブスパイダー-チェックすると、Burp SpiderはBurp Proxyを介して行われたすべてのHTTPリクエストを処理し、アクセスしたWebページ上のリンクとフォームを識別します。このオプションを使用すると、ブラウザでそのコンテンツのサブセットを参照しただけの場合でも、Burp Spiderがアプリケーションのコンテンツの詳細な画像を構築できるようになります。訪問したコンテンツからリンクされているすべてのコンテンツがスイートのサイトマップに自動的に追加されるためです。

これを行うには、「スパイダー」タブにアクセスして、「オプション」タブを選択します。

spider

このようにして、ホストにトラフィックをあふれさせることなく、サイトマップの生成を制御します。

お役に立てれば。

15
David Stubley

Portswigger(Burpの作者)によるWebアプリケーションハッカーハンドブックは絶対に絶対に入手してください。このハンドブックは、Webアプリケーションのリバース/ハッキングに関連する概念の紹介として書かれているだけでなく、これらの概念を適用するための段階的なガイドとしても書かれています。 Burp Suite。

Second Editionが利用可能になったことに注意してください。

8
jcran

私が見たチュートリアルの良いシーケンスの1つは Security Ninja サイトにあります。そのリンクにはシリーズの最後のリンクがあります(スキャナータブに焦点を当てています)が、そのページから他のリンクへのリンクがあります。

6
Rory McCune

SalesForceからのこれ は大丈夫だと思います-以前にげっぷを使用したことがある場合は、少し基本的なことです。

2
Rory Alsop

バージョン1.5のBurpには、チュートリアルとして使用できる組み込みのヘルプが含まれています。 Help -> Burp Suite Helpからアクセスできます

0
Andrei Botalov