Burp Suite 使用手册

XXXXX有限公司

2015年8月

文档信息

1.1目的

提供Burp Suite的使用说明，保证用户对于工具的快速熟练使用.

1.2适用范围

本文档是针对于不了解Burp Suite的测试人员而制定的。

2安全性测试

2.1安全测试方法步骤

1.打开并安装测试工具：burpsuite_pro_v1.5.18 破解版，使用启动命令安装此工具（请确保安装JDK，并配置环境变量） 如下图：

2.双击“BurpLoader.jar”运行工具，单击如下图：

.

2.进入安全测试工具界面 ，单击如下图按钮：配置工具的代理信息，（另外要在浏览器也设置代理信息，端口和地址与安全工具中设置的一致，IP地址为：127.0.0.1）

IE浏览器设置端口号：见下图：

3.单击下图on按钮，开启检测  ，显示为off时表示正在运行中

4.打开安全检测后，在IE浏览器中输入要检测的网址 登录系统，（单击各个菜单名为了安全检测能覆盖全面）

5.在如下图所示 在左侧地址栏中找到要扫描的浏览器地址：

右键单击 如下图所示：开始扫描，扫描过程中工具菜单“Scanner”闪烁

6.单击工具菜单“Scanner”下的“Results”显示扫描结果，右键单击选择导出报告，如下图：（导出格式选择html格式）

2.2测试目的

安全性测试是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程，安全性测试并不最终证明应用程序是安全的。而是只用于验证所设立对策的有效性，这些对策是基于威胁分析阶段所做的假设而选择的。

2.3执行测试

1.执行测试主要分几个方面如下:

（1）SQL注入；

（2）存储型跨站脚本漏洞；

（3）反射性跨站脚本漏洞；

（4）访问控制缺陷；

（5）Struts2远程代码执行漏洞；

（6）Apache HttpOnly Cookie泄露；

（7）会话Cookie缺少HttpOnly属性；

2.现有的测试用例模板: 

3.深入了解学习安全测试的参考资料： 

3 附录

3.1安装JDK，配置环境变量

Jdk 版本建议安装1.6。

关于环境变量配置：

下面开始配置环境变量，右击【我的电脑】---【属性】-----【高级】---【环境变量】，如图：

选择【新建系统变量】--弹出“新建系统变量”对话框，在“变量名”文本框输入“JAVA_HOME”,在“变量值”文本框输入JDK的安装路径（如：D:\\Java\\jdk1.6.0_31），单击“确定”按钮，如图：

在“系统变量”选项区域中查看PATH变量，如果不存在，则新建变量 PATH，否则选中该变量，单击“编辑”按钮，在“变量值”文本框的起始位置添加“%JAVA_HOME%\\bin;%JAVA_HOME%\\jre\\bin;”或者是直接“%JAVA_HOME%\\bin;”，单击确定按钮，如图：

在“系统变量”选项区域中查看CLASSPATH 变量，如果不存在，则新建变量CLASSPATH，否则选中该变量，单击“编辑”按钮，在“变量值”文本框的起始位置添加“.;%JAVA_HOME%\\lib\\dt.jar;%JAVA_HOME%\\lib\ools.jar;”。如图：

现在测试环境变量的配置成功与否。在DOS命令行窗口输入“JAVAC”，输出帮助信息即为配置正确。如图：