方便初学者快速上手这款网络安全测试工具

Burp Suite是PortSwigger为您提供的一系列领先的网络安全工具。我们相信通过卓越的研究为用户提供竞争优势。

因某些原因，不方便以文本形式进行描述，
参考解决方法：使用搜索引擎解决这一问题

出现 PHP function allow_url_include: Disabled 需要修改php配置文件的 php.ini

注意1：是运行环境php目录下的php.ini 不是DVWA目录下的，并修改之后要重启运行环境以让修改生效。
（Extensions\php\php7.3.4nts\php.ini）
修改之后需要重启运行环境以让修改生效。

重启运行

5.点击创建数据库

稍等片刻，网页变为

6.默认账号密码

模拟渗透目标：http://192.168.182.129/DVWA-master/login.php
打开Burp自带的浏览器
注意：2020.7版本开始具有嵌入式Chromium浏览器，该浏览器已预先配置为可以直接使用Burp Suite的全部功能。您不再需要手动配置浏览器的代理设置或安装Burp的CA证书。首次启动Burp时，即使使用HTTPS URL，也可以立即开始测试。

因现在的数据不需要可不进行拦截，关闭数据拦截功能，打开测试网站

此篇文章对Burp有了一个简单的了解，如如何抓取请求数据，进行爆破攻击，与攻击参数的多途径设置等等。。。因篇幅有限，其它使用技巧在下篇文章进行描述

期待下次相见

Professional / Community 2020.4
从此发行版开始，我们现在支持Java13。不幸的是，我们将不再能够支持Java8。绝大多数用户将不受此更改的影响。但是，如果通常直接从JAR文件直接启动Burp而不是使用提供的安装程序，则在尝试启动新的JAR文件之前，需要确保您具有Java 9至13版本之一。

配置$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

allow_url_include=on

例如：攻击者通过网络窃听手段监听HTTP通讯协议，获取账号密码等敏感数据。
修复：以HTTPS代替HTTP协议并加密传输数据

• 点击进入官方网站
• 点击查看软件功能介绍
• 点击进入各版本下载页面
• 网上找到的专业版学习补丁
  查杀：https://habo.qq.com/file/showdetail?pk=ADcGYl1rB2IIOFs5U2M%3D

  初识

  jar版本运行环境

  Burp 2020.4 之前需Java8环境
  大于等于Burp 2020.4 需>Java8环境,例如jdk9-jdk14
  官方说明：

• 工具准备
  Vmware虚拟机(已安装Windows10系统)
  phpstudy集成运行环境
  用于作为靶机网站源码
  注意：只是一个思路分享，参考就好，不要被其左右
• 实体机访问虚拟机搭建的网站
  注意：若虚拟机系统为Win7需关闭防火墙
  1. 虚拟机网络配置
     
     2.虚拟机内网IP
     运行(快捷键：Win+R)-cmd-ipconfig
     
     3.启动phpstudy环境
     
     4.实体机浏览器输入虚拟机的内网IP
     
• 靶机搭建
  1.靶机官网
  http://www.dvwa.co.uk/
  2.将下载好的靶机解压复制到phpsudy安装目录下的www目录
  
  3.访问，因有目录访问需加目录名称DVWA-master
  
  4.报错修改源码
  根据config.inc.php.dist创建配置文件config.inc.php并根据自身运行环境修改代码
  
  
  保存启动
  
  出现 reCAPTCHA:Missing在 configure/configure.inc.php中配置两个量

• 登录时进行拦截，分析请求数据
  
  发现使用http协议，并账号密码明文传输，存在安全分析：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)