Burp Suite 是一款強大的網絡安全工具，得到了全球用戶的廣泛支持和貢獻。Burp Suite 用戶社區活躍而富有創造力，經常分享優化使用技巧，幫助滲透測試人員提高工作效率和發現潛在的漏洞。以下是從社區收集的幾條精選技巧，分為三個主要類別：

Burp Suite 是一款領先的Web應用程序安全測試工具。它被廣泛用于識別和修復Web應用程序中的漏洞。

Burp Suite 最新版下載

節省時間的技巧

1. Repeater中的滾動切換
   在Repeater中啟用滾動切換，當參數的值反映在響應中時，可以節省查看變化的時間。

2. 創建默認配置文件
   創建一個默認的 project_options.json 文件，避免重復配置項目設置（例如：正則表達式、超時、代理、攔截配置等）。

3. 使用快捷鍵提高效率

   • 從Proxy > HTTP History：
     • Ctrl + R：發送請求到Repeater
     • Ctrl + Shift + R：跳轉到Repeater
     • Ctrl + Space：從Repeater發送請求

4. 自定義Intruder負載列表
   自定義Intruder的負載列表，以節省時間。

5. 使用負向搜索過濾
   在搜索中勾選“負向”匹配，快速排除包含不需要查看的字符串的響應或請求（例如："incap_sess"）。

發現漏洞的技巧

1. 使用站點地圖比較
   使用Burp的“工具/目標/站點地圖/比較”功能來發現潛在的訪問控制問題。

2. 高級范圍選項
    使用高級范圍選項，只使用公司或站點的名稱，這樣可以過濾流量，幫助發現可能存在的S3桶或其他云存儲服務。

3. 啟動多個本地代理監聽器
   啟動多個本地代理監聽器，并為不同工具指定不同端口，以便可以按端口過濾流量，分析工具行為及其對服務器的潛在影響。

4. 使用“匹配與替換”
   使用“匹配與替換”功能，將某些字符串（如 FALSE 變為 TRUE）進行修改，這通常能觸發一些有趣的行為。

5. 保存Burp項目并被動分析
   將Burp項目保存為文件，并使用gf模式對文件進行搜索，查找敏感信息如密鑰和令牌等。

6. 持久化Collaborator會話
   通過“SECRET_KEY”，創建腳本并輪詢Collaborator，進行持續的漏洞挖掘。

7. 使用“復制為curl”
   我承認，除了滲透測試，我還經常用“復制為curl”來作為工程師修復bug時的POC。

提高生產力和工作流效率的技巧

1. 重命名Repeater標簽頁
   在Repeater中為每個重要的端點重命名標簽頁，這樣可以在多個標簽頁打開時方便管理。

2. 使用標簽頁切換功能
   學會使用Repeater中的前進（<）和后退（>）標簽，快速切換請求。

3. 保存項目文件時精簡內容
   在保存項目文件時，只保留范圍內的內容，從而減小文件大小。然后使用7zip進行壓縮。

4. 使用“匹配與替換”進行XSS測試
   使用“匹配與替換”功能添加XSS負載（例如：XSS1="'--></style></script><svg oNload=alert()>），每次瀏覽時都會被替換。

5. 通過SSH隧道將請求發送到Burp
   通過“ssh -R 18081:localhost:8081”將本地請求發送到VPS上，然后在Burp中設置監聽器（127.0.0.1:8081），以便輕松過濾本地和VPS的流量。

如果您有任何問題需了解詳情，請聯系在線咨詢