Burpsuite工具在漏洞检测中的应用

doi:10.3969/j.issn.1671-1122.2016.09.019

信息网络安全 ›› 2016, Vol. 16 ›› Issue (9): 94-97.doi: 10.3969/j.issn.1671-1122.2016.09.019

Burpsuite工具在漏洞检测中的应用

俞诗源(), 王誉天, 刘鑫

北京市公安局,北京 100006

收稿日期:2016-07-25 出版日期:2016-09-20 发布日期:2020-05-13
作者简介:
作者简介：俞诗源（1975—）,男,北京,本科,主要研究方向为网络安全;王誉天（1975—）,男,陕西,副研究员,主要研究方向为电子安全与防护;刘鑫（1980—）,男,山东,工程师,主要研究方向为信息安全测试技术。

Burpsuite Extender Apply in Vulnerability Scanning

Shiyuan YU(), Yutian WANG, Xin LIU

Beijing Public Security Bureau, Beijing 100006, China

Received:2016-07-25 Online:2016-09-20 Published:2020-05-13

摘要/Abstract

摘要：

Burpsuite是全球知名的Web攻击集成平台,平台包括：Web代理、网络爬虫、扫描器、自动化攻击、解码器、中继器等功能,并且支持编写自定义工具来扩展Burp Suit的功能。文章对Burpsuite工具的工作方法进行了深入研究,挖掘Burpsuite工具的最新的使用方法和功能。从Web安全测试的角度,以流行的Struts安全漏洞为例,充分发挥Burpsuite工具的优势,编写了多个Struts漏洞的检测工具。在Burpsuite工具平台上,实现自动化Struts漏洞检测、识别,并且加入了编码变形,能够进行绕过Web应用防火墙等防护手段的测试,在相关的安全检测工作中起到了重要的作用。

关键词: Burpsuite, 漏洞扫描, 网络安全

Abstract:

Burpsuite is a world-renowned leading integrated platform of Web attack, and the platform includes web proxy, web crawler, scanner, automated attack, decoder, repeater and so on.It supports writing custom plugins to extend Burpsuit. In this paper, the work method of Burpsuite tool is studied in depth, and the new method and function of Burpsuite tool is excavated. From the perspective of web security testing, as an example of the popular struts security vulnerabilities, we give full play to the advantages of Burpsuite tools and write a number of Struts vulnerability detection tools.By Burpsuite tool platform,we realize automation Struts vulnerability detection ,identification, and join the coding distortion, to bypass the web application firewall protection means test. And it will play an important role in the safety testing.

Key words: Bupsuite, vulnerability scanning, information security

中图分类号:

TP309

俞诗源, 王誉天, 刘鑫. Burpsuite工具在漏洞检测中的应用[J]. 信息网络安全, 2016, 16(9): 94-97.

Shiyuan YU, Yutian WANG, Xin LIU. Burpsuite Extender Apply in Vulnerability Scanning[J]. Netinfo Security, 2016, 16(9): 94-97.

参考文献 9

[1]	廖文军,朱晓乾,万开.浅析Struts2两个安全漏洞的原理、利用与防范[J].电子测试,2014(20):61-63.
[2]	韦鲲鹏,葛志辉,杨波 . PHP Web应用程序上传漏洞的攻防研究[J]. 信息网络安全,2015(10):53-60.
[3]	郑先伟. ApacheStruts2Web应用框架再现严重安全漏洞[J].中国教育网络, 2013(6):48.
[4]	叶嘉羲,张权,王剑. 基于权限控制和脚本检测的Webview漏洞防护方案研究[J]. 信息网络安全,2015(3):38-43.
[5]	赵星. 网站暴力破解攻击及防御措施[J].山西电子技术,2016(1):52-54.
[6]	朱圣才,徐御,王火剑. 常见源代码安全漏洞分析与研究[J]. 信息网络安全,2014(2):48-52.
[7]	Portswigger.Burpsuite官方文档[EB/OL].,2016-1-15.
[8]	孙哲,刘大光,武学礼,等. 基于模糊测试的网络协议自动化漏洞挖掘工具设计与实现[J]. 信息网络安全,2014(6):23-30.
[9]	何成万,余秋惠. MVC模型2及软件框架Struts的研究[J].计算机工程,2002,28(6):274-275.

[1]	刘建伟, 韩祎然, 刘斌, 余北缘. 5G网络切片安全模型研究[J]. 信息网络安全, 2020, 20(4): 1-11.
[2]	赵志岩, 纪小默. 智能化网络安全威胁感知融合模型研究[J]. 信息网络安全, 2020, 20(4): 87-93.
[3]	黎水林, 祝国邦, 范春玲, 陈广勇. 一种新的等级测评综合得分算法研究[J]. 信息网络安全, 2020, 20(2): 1-6.
[4]	荆涛, 万巍. 面向属性迁移状态的P2P网络行为分析方法研究[J]. 信息网络安全, 2020, 20(1): 16-25.
[5]	裘玥. 大型体育赛事网络安全风险分析与评估[J]. 信息网络安全, 2019, 19(9): 61-65.
[6]	高孟茹, 谢方军, 董红琴, 林祥. 面向关键信息基础设施的网络安全评价体系研究[J]. 信息网络安全, 2019, 19(9): 111-114.
[7]	陈良臣, 刘宝旭, 高曙. 网络攻击检测中流量数据抽样技术研究[J]. 信息网络安全, 2019, 19(8): 22-28.
[8]	尚文利, 尹隆, 刘贤达, 赵剑明. 工业控制系统安全可信环境构建技术及应用[J]. 信息网络安全, 2019, 19(6): 1-10.
[9]	张可, 汪有杰, 程绍银, 王理冬. DDoS攻击中的IP源地址伪造协同处置方法[J]. 信息网络安全, 2019, 19(5): 22-29.
[10]	倪一涛, 陈咏佳, 林柏钢. 基于自动解混淆的恶意网页检测方法[J]. 信息网络安全, 2019, 19(4): 37-46.
[11]	陈良臣, 高曙, 刘宝旭, 卢志刚. 网络加密流量识别研究进展及发展趋势[J]. 信息网络安全, 2019, 19(3): 19-25.
[12]	傅建明, 黎琳, 郑锐, 苏日古嘎. 基于GAN的网络攻击检测研究综述[J]. 信息网络安全, 2019, 19(2): 1-9.
[13]	韦力, 段沁, 刘志伟. 互联网时代医院网络安全管理综述[J]. 信息网络安全, 2019, 19(12): 88-92.
[14]	张振峰, 张志文, 王睿超. 网络安全等级保护2.0云计算安全合规能力模型[J]. 信息网络安全, 2019, 19(11): 1-7.
[15]	张健, 陈博翰, 宫良一, 顾兆军. 基于图像分析的恶意软件检测技术研究[J]. 信息网络安全, 2019, 19(10): 24-31.

Burpsuite工具在漏洞检测中的应用

Burpsuite Extender Apply in Vulnerability Scanning

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献 9

相关文章 15

编辑推荐

Metrics

本文评价