滲透測試軟體 Burp Suite

Reference: 

滲透測試工具Burpsuite操作教程

Web滲透測試 - Burp Suite 完整教學

本來我是用免錢的 OWASP ZAP，但是客戶說他們網站很重要，一定要用專業工具檢查。只好裝Burp Suite Professional 來檢查，可以試用 30 天。

安裝：

• 需要先裝 Java
• 下載 Burp Suite Professional
• 輸入 email 當作帳號，它會寄密碼信過來
• 登入 Portswigger網站，並取得 license key
  
• 安裝 Burp Suite 並輸入 license key

使用教學： 

https://portswigger.net/burp/documentation/desktop/getting-started

 

這兩個功能是手動的，有興趣的人請照文件做一次。

Intercepting HTTP traffic with Burp Proxy
Manually reissuing requests with Burp Repeater

重點是它的自動檢測功能。(只有 Professional 才有)

• 選擇 Temporary project 或 New Project 都可以
• Use Burp default
• Dashboard / New Scan / 輸入要檢測的 URL，按 OK 就開始檢測了
  

檢測結果：