Acunetix WVS及Web漏洞手工检测分析

男娘i 2022-01-27 14:43 1143阅读 0赞

Web漏洞手工检测

Web环境中存在两个主要的风险：SQL注入，它会让黑客更改发往数据库的查询以及跨站脚本攻击（XSS）。注入攻击会利用有问题代码的应用程序来插入和执行黑客指定的命令，从而能够访问关键的数据和资源。当应用程序将用户提供的数据不加检验或编码就发送到浏览器上时，会产生XSS漏洞。大多数公司都非常关注对Web应用程序的手工测试，而不是运行Web应用程序扫描器。

Burp Suite是Web应用程序测试工具之一，其多种功能可以执行各种任务，如请求的拦截和修改,扫描Web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。使用Burp Suite将使得测试工作变得更加容易和方便，即使在不需要娴熟的技巧的情况下，只要熟悉Burp Suite的使用，也使得渗透测试工作变得轻松和高效。

# Acunetix WVS及Web漏洞手工检测分析实验 #

## **实验目标：** ##

**Acunetix WVS的安装及使用**

任务一：WVS安装及使用

(1)掌握web扫描的概念、意义及应用分析。

(2)掌握Acunetix WVS扫描工具的安装。  
(3)针对特定扫描目的，掌握Acunetix WVS扫描器的参数方法。

**云端Web漏洞手工检测分析**

任务一：Burp Suite基础Proxy功能

(1)了解常见的Web漏洞及其攻击原理。

(2)了解Burp Suite的基本功能及Proxy功能。

(3)掌握设置Burp Suite软件中Proxy代理及手动配置功能应用。

任务二：Burp Suite target功能使用

(1)掌握Burp Suite target功能。

(2)使用Burp Suite target功能搜索目标漏洞。

任务三：Burp Suite Spider功能

(1) 掌握Nmap扫描存活主机的意义，相关基础知识。。

(2) 使用Nmap进行存活主机扫描。

任务四：Burp Suite Scanner功能应用

(1) 掌握如何识别远程机器的系统版本。

(2) 使用Nmap扫描并识别远程机器的系统版本。

任务五：Burp Suite Intruder爆破应用

(1) 掌握识别目标主机所开放端口上的应用。

(2) 使用Nmap扫描并识别目标主机所开放端口上的应用。

## 实验环境： ##

**VMware****中创建Windows Server 2008与Kali Linux虚拟机，并配置这2台虚拟机构成一局域网，设置Windows Server 2008虚拟机ip地址为192.168.43.145，Kali Linux虚拟机的ip地址为192.168.43.242。**

**Windows Server 2008****虚拟机中配置IIS，并创建好测试网站dvwa。**

**实验拓扑图如图**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70][]

**kalilinux192.168.43.242     windows server2008 192.168.43.145**

Acunetix WVS的安装及应用

**任务一、在Windows Server2008R2虚拟机中安装Acunetix WVS**

**选择下载与系统匹配的安装包**

![20190527092709777.jpeg][]

**打开Acunetix 11界面，单击Next，进行下一步。**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 1][]

**选择I accept the agreement，Next进行下一步操作。**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 2][]

**填写信息（随意填写）**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 3][]

**选择Server Name下一步。**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 4][]

**点击Next进行安装**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 5][]

**点击Install进行下一步**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 6][]

**进行安装**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 7][]

**默认选择“是”进行下一步**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 8][]

**完成安装**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 9][]

**acunetix web vulnerability scanner****破解**

![20190527092832898.jpeg][]

**把破解补丁放进安装目录下**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 10][]

**打开补丁双击Acunetix Web Vulnerability Scanner 10.x Consultant Edition KeyGen.exe，弹出下图黑色框，点击prtch完成破解**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 11][]

**破解后程序将弹出下面程序，点击next下一步**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 12][]

**此时登录后为英文界面，为了方便使用，进行汉化，汉化步骤**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 13][]

**将此目录下的文件复制到scripts下并进行替换**

![20190527092855242.jpeg][]![20190527092855354.jpeg][]

**替换相同文件名的文件**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 14][]

**此时进行查看，界面变为中文界面**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 15][]

任务二、Acunetix WVS的基本使用

**添加扫描目标-1**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 16][]

**添加扫描目标-2**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 17][]

**创建新的扫描，选择扫描设置**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 18][]

**创建新的扫描**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 19][]

**勾选已经做好的扫描目标并开始扫描**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 20][]

**扫描页面如图**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 21][]

**停止扫描**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 22][]

**点击“生成报告页面”生成报告**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 23][]

**确认生成报告**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 24][]

**在报告页面选择下载已生成的报告**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 25][]

**预览下载好的PDF格式报告**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 26][]

**云端Web漏洞手工检测分析**

**任务一、Burp Suite基础Proxy功能**

**在Kali虚拟机中打开Burp Suit工具并设置**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 27][]

**启动Kali虚拟机中的浏览器，单机右上角的菜单按钮，选择“Preferences”选项**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 28][]

**打开“Connection Setting”对话框**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 29][]

**进行手动代理设置**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 30][]

**在Kali中打开“intercept”子选项卡，下面的“Intercept is on”表示开启数据包拦截功能，反之即是放行所有Web流量**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 31][]

**打开Kali中的浏览器，并在地址栏中输入http://192.168.43.145**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 32][]

**在Burp Suit中单击“Forward”按钮，可以看到所拦截的数据**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 33][]

任务二、Burp Suite target功能使用

**启动Burp Suite，打开“Target”->“Site map”选项卡**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 34][]

**根据前一步中展示的相关联的网址，邮寄左边属性结构中的某个网址，在弹出的快捷菜单中选择“Add to scope”命令，即把某个网址设置到目标范围**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 35][]

**Target Scope****目标区域规则设置**

**打开“Scope”子选项卡，出现目标区域规划设置界面**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 36][]

**单机“Add”按钮，即可编辑包含规则或去除规则**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 37][]

任务三、Burp Suite Spider功能

**打开Burp Suite，根据前面Target中的有关配置，选中要测试的页面连接。右击目标网址，选中“Spider this host”命令**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 38][]

**对“Spoder”选项卡的“Options”子选项卡的有关选项取默认配置**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 39][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 40][]

**单机“Spider”选项卡中的“Control”标签，单机“Spider is running”按钮，显示已经请求数量、字节传输量、爬虫范围等信息**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 41][]

任务四、Burp Suite Scanner功能

**启动Burp Suite，正确配置Burp Proxy并设置浏览器代理，同时在“target”选项中的“Site map”子选项中配置好需要扫描的域和URL模块路径，右击需要扫描的站点，选择快捷菜单中的“Actively Scan this host”命令**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 42][]

**打开主动扫描配置向导，选择是否移除有关的页面项**

** **![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 43][]

**单击上图中的“Next”按钮，继续对扫描项进行配置，将不需要扫描的网址移除，以提高扫描效率，对攻击插入点进行配置**

** **![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 44][]

**进入“Scanner”选型卡的“Scan queue”子选项卡，查看当前扫描的进度**

** **![20190527093211732.png][]

**配置主动扫描与被动扫描**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 45][]

**在“Target”选项卡的“Site map”子选项卡下选择某个子目录进行扫描，优化扫描选项，对选项进行设置，指定哪些类型的文件不在扫描范围内**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 46][]

**在“Target”选项卡的“Site map”子选项卡中选择需要添加的网址，将该网址添加到作用域中，然后进行自动扫描**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 47][]

**选择“Results”子选项卡，查看扫描结果**

任务五、Burp Suite Intruder爆破应用

**启动Burp Suite，按照任务一的介绍完成代理配置**

**用浏览器访问网站，以渗透测试系统dvwa 为靶机站点**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 48][]

**打开登录界面，输入登录账户及密码，假设已知登陆账号为admin，而密码需要爆破，因此随意输入一个密码**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 49][]

**单击login 按钮，并在Burp Suite中截取登录数据**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 50][]

**选中所有数据并在右键快捷菜单中选择“Send to intruder”**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 51][]

**对爆破变量进行配置**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 52][]

**对自动标记的变量进行爆破**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 53][]

**对爆破变量所需的密码文件进行配置**

![20190527093408509.jpeg][]![20190527093408543.jpeg][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 54][]

**设置完成后，选择“Start attack”**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 55][]

**在爆破结果中，对密码文件中的密码进行逐个测试**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 56][]

**以admin为账号，password为口令进行登录验证**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 57][]

# 出现的错误与解决方法： #

**出现问题：**

**进入DVWA初始化页面时，如图：**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 58][]

**在点击下图中按钮 — Creat / Reset Database —后，出现下图文本方框内的错误提示：**

![20190527093541932.png][]

**解决方案：**

**找到DVWA\\config\\ 目录下的config.inc.php 文件。**

**找到 ： $\_DVWA\[ ‘db\_password’ \] = ‘p@ssw0rd’;**

**将其改为：$\_DVWA\[ ‘db\_password’ \] = ”;**

**这里的$\_DVWA\[ ‘db\_password’ \] 设置的是MySQL root用户的密码（此处为空，直接把’p@ssw0rd’改为”就行了，即密码为空），再重新创建数据库即可**

![20190527093541980.png][]

**回到网页，点击按钮 — Creat / Reset Database —出现下图提示（横线以下部分），问题解决。**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 59][]

**以上页面驻留几秒后，自动转到登录界面，大功告成：**

![20190527093542458.png][]

**PS：默认的用户名和密码为“admin/password”**

# 总结： #

Burp Suite是使用Java开发的安全测试工具，在Kali系统里面已经安装，Windows系统要先安装好Java环境，然后可以在其官网https://portswigger.net/burp/download.html下载和安装。

它包含了许多模块（功能），并为这些模块（功能）设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息、持久性、认证、代理、日志、警报的一个强大的可扩展的框架。Burp Suite具有如下的功能模块：

（1）Target(目标)——显示目标目录结构的的一个功能。

（2）Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。

（3）Spider(蜘蛛)——应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。

（4）Scanner(扫描器)——高级工具，执行后，它能自动地发现Web应用程序的安全漏洞。

（5）Intruder(入侵)——一个定制的高度可配置的工具，对Web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。

（6）Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具。

（7）Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

（8）Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。

（9）Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

（10）Extender(扩展)——可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suite的功能。

（11）Options(设置)——对Burp Suite的一些设置。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70]: /images/20220127/d2f6cb8e764941e4a98c7d8a5996eda8.png
[20190527092709777.jpeg]: /images/20220127/f053ea9433154ca7b21f9c6ce213975b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 1]: /images/20220127/e54bb9beda0e4f9a91cebf0f3e3276c7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 2]: /images/20220127/dbff937af6c14e96a4de0cf9d94ce7c1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 3]: /images/20220127/1976de7072bf4a309463e9bba18fc327.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 4]: /images/20220127/6a64dd5dfbb1474898752728b65c31f3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 5]: /images/20220127/e2631c8a98ef477c9e562b7ee7f27f29.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 6]: /images/20220127/5084b224002d45908f59bccaf72ec50e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 7]: /images/20220127/ded858ffd30649fb862d77eb568a741a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 8]: /images/20220127/64dd96fcc5c142a59af75d89f1d56020.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 9]: /images/20220127/0624d297749d4258a7a4d43058b2b4ab.png
[20190527092832898.jpeg]: /images/20220127/c3cf075015e84ef6ac66c744a2a607ef.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 10]: /images/20220127/5ad7f0cc72f94273856658ed601ac435.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 11]: /images/20220127/e62e7ac130864150bcb887b2cd4416b6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 12]: /images/20220127/4dfb4beede4a4cca9252501e565bc07a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 13]: /images/20220127/28615146375945c2bb7718275d700416.png
[20190527092855242.jpeg]: https://img-blog.csdnimg.cn/20190527092855242.jpeg
[20190527092855354.jpeg]: /images/20220127/b2a765cc885a40db922754bc13b73fe6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 14]: /images/20220127/8b202c0c68154ac39ea4adbc0a113c5c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 15]: /images/20220127/6bb576ed30134a1ea8f75f24bf12a0ec.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 16]: /images/20220127/f41da264b04e4702a4843d78a472d64d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 17]: /images/20220127/22aacd7ccc234e00ab824657796dc03a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 18]: /images/20220127/3a526f861d91469290ae0df9605baa94.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 19]: /images/20220127/94c380b72da64d8d8b3678b0428817cd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 20]: /images/20220127/223c67f498244b3e95f3c9d6ae9d7fd1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 21]: /images/20220127/55a7bd3dcc60478ea0060f544b92c02e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 22]: /images/20220127/5d93d84396bf49ae9451130bca0a0949.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 23]: /images/20220127/9d4fb67127a448dc9f3d7e248ddd2780.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 24]: /images/20220127/47d82a74554a495fbcc8309f929444c0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 25]: /images/20220127/8b1ba51c2cbf4f00a1668dcb0e068e52.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 26]: /images/20220127/03cd75eb95b34c93a8dec97808a91851.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 27]: /images/20220127/3d164f8a9ebe4f9e8947849751f667da.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 28]: /images/20220127/6a805feb19474c969f148b692d111d54.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 29]: /images/20220127/b89126a07af54e2693b634b97c61d013.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 30]: /images/20220127/9a9e48e74b78401ba643e6fd5d439db3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 31]: /images/20220127/58904f3db85748e6bdc74dae68874948.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 32]: /images/20220127/b46175478516486786fcf88ae543de86.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 33]: /images/20220127/02b6f1919706497ea9c1c848de9c82a7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 34]: /images/20220127/af607fd0eb4c49678a9d09c331ebc9df.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 35]: /images/20220127/fa90c69ee7354df6a03dec9ff6067604.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 36]: /images/20220127/bcbbe6c6f94440679adc6fc871c8445d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 37]: /images/20220127/0a45998cecbd46369af62507d75e95d3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 38]: /images/20220127/3a84f0b7c8a541158a3a5fb977101156.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 39]: /images/20220127/236b7ce2ba7f4cdc88f7e6fc6eb7fa81.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 40]: /images/20220127/da5d8bfb378e455a9475deab1f8d3a14.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 41]: /images/20220127/63aa32c18df84bfc886bd2f50172af8c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 42]: /images/20220127/973738b5f466442faa39fe8150cd45d0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 43]: /images/20220127/76a82b3ea9634ced9d7866b2edaa8377.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 44]: /images/20220127/3ca5a636b9eb44f4b2d0d0bb981e15ef.png
[20190527093211732.png]: /images/20220127/195cb5014b4845f7ba6d19a0a4b7f91f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 45]: /images/20220127/8e6b74def71645d8b63db7f7ea01e12b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 46]: /images/20220127/8c2295c49cb64b25ae607732fa52aff3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 47]: /images/20220127/442784470fe648edb7a3dcdf1924b462.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 48]: /images/20220127/82227be37f7b475bad96747f8916d4a6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 49]: /images/20220127/04b6f223abc1401fab97530ebb9ad60d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 50]: /images/20220127/e9aad13d9d5247ce87a97c8bb79bf2c0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 51]: /images/20220127/3b5330a3d54c4ae49a38017574e65f41.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 52]: /images/20220127/4c30d08bdf8b48ad9a2eb96785c2228d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 53]: /images/20220127/f597bb1b74874fcdbfb26e8ce08ac8d3.png
[20190527093408509.jpeg]: https://img-blog.csdnimg.cn/20190527093408509.jpeg
[20190527093408543.jpeg]: /images/20220127/11d34c5f19c34719a731531122c255f1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 54]: /images/20220127/01cad4a932004fcc84ef32fe7d32e0ee.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 55]: /images/20220127/186b04871ef94b1680d2dd7f88c7ac90.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 56]: /images/20220127/ca4a23b2a3bc4929b13657b316f44620.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 57]: /images/20220127/802542feab3c49eda2fde3a23e0fa438.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 58]: /images/20220127/5b63445b84134411875d8b4ddd23dd27.png
[20190527093541932.png]: /images/20220127/435da2ef53ef4464a4fb48dee604dc3c.png
[20190527093541980.png]: /images/20220127/fbef0413d2f14954818c582d0aed3368.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTMyOTc1OA_size_16_color_FFFFFF_t_70 59]: /images/20220127/14e7863af15e45d390afec5f6a7f42dc.png
[20190527093542458.png]: /images/20220127/97b432cceafd498e962a54c08e644d0b.png