工具配置
Burp 包含大量配置选项,通常来说,您需要在测试的不同阶段相互配合的使用它们,以确保 Burp 按照您所需要的方式工作。例如:
- 显示 - 您可以配置用于显示HTTP消息的字体和字符集,以及 Burp UI 中的字体。
- 目标范围 - 目标范围的配置设置了您目前感兴趣并愿意攻击的项目。您应该在测试的初期进行配置,因为它可以控制在 Proxy 组件的历史记录和 Target 组件的站点地图中显示哪些项目或是信息,在 Proxy 组件中拦截哪些消息以及可以爬取和扫描内容的范围。
- 身份验证 - 如果应用程序服务器采用任何平台级(HTTP)身份验证,您可以配置 Burp 来自动处理身份验证相关的操作。
- 会话处理 - 许多应用程序包含可能阻碍自动或手动测试的功能,例如反应式会话终止,使用请求令牌和有状态的多阶段进程。您可以配置Burp使用会话处理规则和宏来组合处理大多数类似这样的情况。
- 保存和恢复状态 - 您可以随时保存Burp的当前状态,在以后需要的时候随时恢复。
- 任务调度 - 您可以配置 Burp 按给定时间或时间间隔来调度任务,以允许您在指定的测试窗口内工作。
本节英文原版地址:
https://portswigger.net/burp/help/suite_usingburp.html#config