APP渗透测试 Burpsuite使用教程

本套课程在线学习（网盘地址，保存即可免费观看）地址：

链接：https://pan.quark.cn/s/6dc88d1e72d3

00:01 - BB Suit Java工具抓包操作讲解

本次讲解重点介绍了BB Suit Java工具的使用方法，这是一种常用的抓包工具，特别适用于分析HTTP请求和响应。讲解者通过实际操作演示了如何使用该工具，包括如何查看和分析HTTP请求头、响应状态以及响应内容等关键信息。此外，还提到了一个详细的PDF文档，以便用户在遇到问题时进行查阅，强调了抓包工具在APP测试和网页访问流程分析中的重要性。

04:45 - 如何使用代理抓取和分析网络数据包

通过讨论，介绍了使用代理服务器抓取和分析客户端与服务端之间传输的数据包的方法。首先解释了代理服务器作为中间人的原理，随后详细介绍了在Chrome浏览器中设置代理服务器的步骤，包括指定代理服务器的地址和端口号。接着，通过使用Burp Suite等工具，展示了如何监听和分析通过代理服务器的网络请求，包括请求头、请求方式、URL参数等信息。最后，通过具体示例说明了如何通过修改请求头来伪造请求来源或用户信息。

12:02 - PPT演示：设计代理及基本模块介绍

本次PPT演示详细介绍了设计代理过程中的基本模块。首先解释了目标模块（target），其中列出了整个流程中涉及到的所有请求网址。随后介绍了代理模块的设置，包括是否截断请求，以及手动转发的必要性。此外，还讨论了代理设置的皮肤模块，以及爆破、重组攻击等高级功能。同时，介绍了重放（repeat）模块、解码（decode）模块，以及如何使用插件进行扩展。最后，提到了工程相关设置和个人设置，包括如何在代理服务器上添加额外的代理层。通过这些模块的介绍，展示了代理设计的强大功能。

16:05 - 重放攻击在实际场景中的应用与危害

对话详细介绍了重放攻击在实际应用中的危害，特别是针对抽奖和积分商城等活动的恶意刷分行为。通过使用工具修改和重放请求，演示了如何绕过前端限制，直接向服务器发送请求以达到攻击目的。讨论还涉及GET请求参数的修改和观察响应差异的方法，强调了前后端限制机制的重要性。

23:54 - ID便利性攻击与平行越权演示

讨论了ID便利性攻击，即通过穷举攻击尝试访问或操作其他用户的订单或信息。以购买电影票生成的订单号为例，解释了如何利用可能的ID序列尝试访问或删除别人的订单，从而实现平行越权操作，展示其危险性。最后，提及将通过演示来进一步说明重置攻击的过程。

25:57 - 网络数据抓取与自动化请求方法

讨论了在遵守网络安全法规的前提下，如何通过手动修改URL参数或使用自动化工具生成规律性请求，来抓取和分析网络数据。具体介绍了如何设置请求参数、使用本地环境演示数据抓取过程、以及如何识别和利用响应数据中的规律，以高效获取所需信息。

30:54 - 通过响应长度判断用户存在性的测试技巧

对话讨论了在测试过程中，如何通过服务器响应的长度来判断用户是否存在或请求是否成功。举例说明了非法用户和正常存在的用户在响应长度上的差异，指出这种差异可以作为判断依据。此外，提到了请求不存在的用户时服务器返回的404错误页面，以及使用前置代理进行穷举爆破病例ID的过程。

33:25 - Web调试工具的基本使用和功能介绍

本次对话详细介绍了在Web调试工具中的基本使用方法和功能，包括如何设置和使用代理服务器，如何通过正则表达式进行数据搜索和匹配，以及如何查看和解码请求和响应头、请求体和响应内容等。此外，还强调了这些工具在分析请求过程中的重要性，指出它们在快速查找和分析关键字、变量以及请求细节方面的高效性。

38:51 - 网络抓包和HSTS协议解析

讨论了网络抓包中遇到的问题，特别是HTTPS和HSTS协议的使用，以及如何通过代理工具分析APP与服务器之间的通信，包括请求和响应内容的修改。还提到了使用CDP协议进行网络分析的实际操作示例。

41:08 - 通过代理进行网页请求和数据传输的详细操作

讨论了在使用代理服务器进行网页请求和数据传输时的具体操作步骤，包括如何在不同浏览器和操作系统下设置代理，以及如何验证代理是否成功挂载。此外，还详细介绍了如何通过代理提交数据、查看和分析POST请求的内容，以及如何解码和解析响应数据。最后，讨论了如何通过修改服务器响应内容来达到特定目的，比如批量操作和绕过验证码。

49:43 - APP请求和响应的抓包与改包操作详解

本次讲解详细介绍了在APP开发和测试过程中如何进行抓包和改包操作。通过实际案例，解释了如何修改请求数据和响应内容，以达到测试和调试的目的。此外，还讨论了如何通过修改响应来绕过某些功能或限制，如版本更新提示。最后，鼓励初学者尝试这些操作，以便更好地理解整个过程，并预告后续课程中可能会进一步探讨相关主题。

该内容转载自网络，仅供学习交流，勿作他用，如有侵权请联系删除。

个人微信：ivu123ivu

https://pan.quark.cn/s/8c91ccb5a474

原文始发于微信公众号（网络安全者）：APP渗透测试 -- Burpsuite使用教程