当前位置：首页 > news >正文

burp suite 8

news 文章来源：https://blog.csdn.net/2401_87248788/article/details/144331804 2025/5/5 4:20:30

声明！
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

burpsuite 8
讲了这么久Windows里的burp，今天讲讲kali里面的burp
首先，创建一个目录来存放插件，你也可以放到其他目录
mkdir burp
cd burp
我们来到burp目录
在目录里下载jython-standalone-2.7.2
wget https://repo1.maven.org/maven2/org/python/jython-
standalone/2.7.2/jython-standalone-2.7.2jar
jython是允许Python代码在Java虚拟机上运行的文件，
它可以让Python程序能够利用Java的库和组件。
接下来，使用git下载burpEakele插件
git clone https://github.com/TheKingOfDuck/burpFakelP.git
EakelP是生成随机IP的burp suite扩展插件
现在我们打开burpsuite，按照如下方式配置

配置好后如图

接下来抓一个包，然后使用插件
customlP:生成指定IP
127.0.0.1:回环地址
randomlP:生成随机IP

AutoXFF:默认字段
然后就可以设置payload进行攻击
接下来讲讲IP伪造和IP代理池的区别
IP伪造在通过在修改或者伪造请求包中的源IP，来欺骗浏览器和绕过一些基础的waf的作用，有一定的隐藏效果但是， IP伪造是伪造假的IP，只能绕过一些基础的防御，而IP代理池里的IP都是真实存在的，每个请求都是正常的访问，所以我们还是需要建造IP代理池
接下来讲讲仪表盘，由于我这里是社区版，很多功能用不了，就截了几张视频上的图
仪表盘有两个任务
一个是新建扫描，一个是新建实时任务

实时审计:是对通过代理的所有流量进行实时分机和松测。部是通过言方的POC进行验证
实时被动爬虫:不会主动向目标服务器发送请求，而是通过监听流量来收集信息

在来看实时审计的扫描设定:通过配置如何执行扫简的设置
审计优化:设置审计的速度和准确率
速度:快速，适中，全面
准确率:减少漏报率，适中，减少误报率
插入点的类型:
URL的参数值，Body的参数值，cookie数值，参数名称， HTTP报头，整个主体，URL路径的文件名，URL路径的文件夹
实时审计和实时被动爬虫结合
就能通过访问网站同时进行信息收集和实时审计
我们随便浏览几个网站
爬虫收集的信息都会传到”目标"的站点地图方便查看
我们在看实时审计，可能没有主动扫描来精确
我们在来看看新建扫描，分别有"爬虫与审计"和"爬虫"
爬虫与审计:爬虫和审计同时进行，主动请求网站战进行审计
爬虫:就主动请求服务器访问，不会进行亩计
扫描设定:在速度和爱盖范围之间进行选择
轻量:速度最快，范围最小
快速:速度较快，范围较小
平衡:速度适中，范围适中
深度:深度最慢，范围最大

应用登录:碰到需要登录的页面，进行自动登录

资源池:根据目标服务器的负担来设置扫描的速度

设置后就确定开运行

最后声明，本文仅仅记录重要内容，如要学习，建议去看原视频，哔哩哔哩搜索泷羽sec，红队从0到1，新手小白可以放心食用

burp suite 8

相关文章：

burp suite 8

为什么在Java中super与this不能共存于子类构造器中，其中this起什么作用

Hypothesis：高效的 Python 测试工具

Terminus Calculator 计算原理分享

Wwise 使用MIDI文件、采样音频

在CentOS上无Parallel时并发上传.wav文件的Shell脚本解决方案

【RocketMQ 源码分析（一）】设计理念与源码阅读技巧

独立ip服务器有什么优点?

如何使用Python库连接Redis

Vant UI +Golang(gin) 上传文件

【Unity高级】如何实现粒子系统的间歇式喷射

通过linux命令获取自选股票价格及大盘涨跌幅

透彻理解并解决Mockito模拟框架的单元测试无法运行的问题

vue3字典数据的显示问题（使用hooks解决）

Elasticsearch 单节点安全配置与用户认证

二分查找（带图详解）

【Git】：标签管理

物品识别树莓派 5 YOLO v5 v8 v10 11 计算机视觉

单片机软件工程师前景分析

在Java中几种常用数据压缩算法的实现及其优劣势

Word——如何打出符号中的 1、2、3等带圆圈的序号

操作系统之进程与线程

代码随想录算法训练营打卡第35天：背包问题

【MySQL】数据库 Navicat 可视化工具与 MySQL 命令行基本操作

vscode（一）安装（ubuntu20.04）

利用永恒之蓝对win7进行键盘记录

万字长文解读深度学习——dVAE（DALL·E的核心部件）

RL仿真库pybullet

file_get_contents函数导致网站卡死响应超时

如何使用C#与SQL Server数据库进行交互