在做开发的工程中经常会遇到需要进行抓包的情况,自己经常使用的有Fiddler和Charles,其中Fiddler用在Windows平台,在Mac电脑上因为没有Fiddler,只能用Charles,但是Charles还是收费的,没有找到破解版本。
今天在使用sqlmap进行自动化注入的时候,发现一款在mac电脑上不错的工具,Burp Suite。
介绍
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。
Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动化流程,然后它才会开始工作。
我这目前只用了代理抓取手机端接口功能。
可以直接从官方网站下载免费版本使用:https://portswigger.net/
也可以直接下载破解版本,功能更多,可以保存工程,不用每次都配置。下载地址 链接: https://pan.baidu.com/s/1ohVEExupkhnBvs3Yo08krA 密码: 3svt
在此感谢 https://github.com/Hehe-Zhc/BurpUnlimited 作者,让我们可以用上免费的Burp,原价$349.00啊 吓人。
配置
1.下载完成之后,直接解压缩下载文件,然后打开“BurpUnlimited.jar”即可。
- Temporary project 创建一个临时工程。不会保存此工程的任何配置。
- New project on disk 创建的工程保存到本地,会保存对此工程的配置。(免费版本没有此功能,破解版本包含)
- Open existing project 打开之前创建好的工程
2.选择相应的配置
- Use Burp defaults 使用burp自带的默认配置
- Use options saved with project 使用工程所包含的配置
- load from configuration file
点击“Start Burp”开始使用Burp
3.配置Burp监听手机端
最后在手机端设置wifi代理即可。