您现在的位置是:课程

BurpSuite渗透测试实战指南

2023-11-06 21:27课程 人已围观

注意:购买课程之后,请先加入学习群,获取配套资料
微信公众号:拼客学院服务号(搜索pinginglab)
技术交流群1:添加班主任微信 tangtangbzr,加入微信群
技术交流群2:添加班主任QQ 2115437850,加入QQ群

 

1. 课程简介

BurpSuite可以说是Web安全工程师或白帽子黑客们最常用的渗透测试神器了,能实现从漏洞发现到利用的完整过程。BurpSuite基于Java编写,跨平台支持,配置复杂、选项众多、可定制型强,支持丰富的第三方拓展插件。

 

BurpSuite作为漏洞扫描神器,这里普及下什么是Web漏扫?

  • Web漏洞扫描是在Web信息搜集的基础上,进行更进一步的自动化的安全评估、漏洞挖掘、渗透测试;
  • Web漏洞扫描能让我们进一步挖掘目标服务器潜在的sql注入、xss跨站脚本攻击、csrf跨站请求伪造等漏洞;
  • Web漏扫虽然能够帮助我们快速的实现自动化漏洞渗透,但是并不是全能的,也会出现误报,需要手工结合。

 

 

2. 导师介绍

  • 陈鑫杰 拼客科技CEO / 拼客学院院长
  • 多年一线互联网 / 金融 / 政府信息安全技术支撑
  • 擅长网络安全 / Web安全 / 渗透测试 / 数字取证
  • 51CTO金牌讲师 / 300万+学员 / 安全类Top1
  • 腾讯安全合作伙伴 / 共同打击灰黑产非法犯罪
  • 网警技术顾问 / 多次协助抓获大型诈骗团伙
  • 知乎专栏作家 / 跟杰哥学网络与安全

 

 

3. 课程目标

  • 掌握BurpSuite的核心功能,包括代理设置、网站爬虫、漏洞扫描、入侵爆破、拓展插件等。

 

 

4. 课程对象

  • 白帽子黑客、网络安全、信息安全、Web安全、渗透测试、安全运维、安全攻防

 

 

5. 课程特色

  • 网络安全专家导师授课
  • 采用思维导图方式授课
  • 课件超详细 | 知识点丰富 | 实战驱动

 

 

6. 课程内容

  • Target:目标模块用于设置扫描域(target scope)、生成站点地图(sitemap)、生成安全分析
  • Proxy:代理模块用于拦截浏览器的http会话内容
  • Spider:爬虫模块用于自动爬取网站的每个页面内容,并生成完整的网站地图
  • Scanner:扫描模块用于自动化检测漏洞,分为主动和被动扫描
  • Intruder:入侵(渗透)模块根据上面检测到的可能存在漏洞的链接,调用攻击载荷,对目标链接进行攻击。入侵模块的原理是根据访问链接中存在的参数/变量,调用本地词典、攻击载荷,对参数进行渗透测试
  • Repeater:重放模块用于实现请求重放,通过修改参数进行手工请求回应的调试
  • Sequencer:序列器模块用于检测参数的随机性,例如密码或者令牌是否可预测,以此判断关键数据是否可被伪造
  • Decoder:解码器模块用于实现对URL、HTML、Base64、ASCII、二/八/十六进制、哈希等编码转换,支持多次编码解码操作
  • Comparer:对比模块用于对两次不同的请求和回应进行可视化对比,以此区分不同参数对结果造成的影响
  • Extender:拓展模块是burpsuite非常强悍的一个功能,也是它跟其他Web安全评估系统最大的差别,通过拓展模块,可以加载自己开发的、或者第三方模块,打造自己的burpsuite功能。通过burpsuite提供的API接口,目前可以支持Java、Python、Ruby三种语言的模块编写
  • Options:分为Project/User Options,主要对软件进行全局设置
  • Alerts:显示软件的使用日志信息

 

 

7. 课程预览

 

8. 获取配套学习资料

  • 微信公众号:拼客学院服务号(搜索pinginglab)
  • 技术交流群1:添加班主任微信 qiuzhiquanquan 或 qqls000,加入微信群
  • 技术交流群2:添加班主任QQ 1724698994 或 1752856301,加入QQ群(240920680)

 

-->

站点信息

  • 文章统计篇文章