软件名称:burpsuite_pro_v1.4.07+.jar (需要jdk环境支持), suite.bat打开主界面。
软件下载地址:http://www.xdowns.com/soft/softdown.asp?softid=99503
burpsuite测试工具需要借助Firefox代理拦截测试。
burpsuite的proxy端口:127.0.0.1:8080(默认),proxy ->intercept ->proxy listeners 设置好ip&端口号,running必须选择状态,另外alerts提示信息会给出提示信息。
Firefox:Tools ->options ->Advanced ->Network ->connection ->Settings ->Mannal proxy configuration
HTTP Proxy:127.0.0.1 Port:8080(与burpsuite端口设置保持一致)。
启动IIS网站,Firefox打开http://127.0.0.1:8082(端口号与以上无关,如果相同,要么iis启动不了,要么burpsuite listeners running启动不了), 页面停留在加载状态,切换到burpsuite ->proxy ->Intercept ->forward(点击),使页面加载完成。
需要设置的两个地方:
1. target ->scope ->include in scope (信息复制来源于target ->site map ->add item from scope)
2. scanner ->live scanning ->active scanning ->use custom scope ->paste URL(信息复制来源同上)
设置好了之后,开始扫描~~!
target ->site map ->选择当前站点 ->actively scan this scope
scanner ->scan queue(查看动态信息)
scanner ->results(树状菜单)->右击 ->report selected issues 导出测试报告为html文件格式。
参考:http://hi.baidu.com/evi1r4pper/item/47a5e7a9540802f515329bcb