首先呢,先看下BurpSuite渗透工具长什么样子的。个人认为该工具和之前的Fiddler和 Charles抓包工具相比,软件工具功能较多较全,后两者基本的抓包能搞满足日常工作的。
工具的简单实用
一、抓取电脑web端数据
1、电脑已存在burpsuite工具,进行简单的HTTP通讯抓包
2、打开butpsuite工具进行设置IP地址
比如我电脑IP是192.168.68.100 设置任意端口号
3、使用系统管理员权限打开浏览器,设置代理IP和端口(127.0.0.1:xxxx)
4、进行HTTPS通讯抓包,在浏览器中输入http://burp/,下载CA证书并保存在电脑桌面
5、双击导出CA证书进行安装
6、此时就可以打开网页(如百度首页)进行数据抓取了
二、抓手机应用数据
1、在burpsuite中设置如下,这样所有的数据都会通过该代理进行访问
2、手机端点击WiFi---->代理设置为手动,服务器主机和服务端口就输入电脑本机的IP地址和burpsuite上配置的端口,这里是8099
3、通过手机去访问应用,就可以抓取到数据了
三、截断剔除javascript(js)脚本
1、使用burpsuite进行剔除,需做如下配置