Burp Suite 實戰
Vibe Prompt
「幫我用 Burp Suite 攔截 HTTP 請求,修改參數後再發送,測試伺服器是否驗證輸入。」
基本功能
| 功能 | 用途 | |------|------| | Proxy | 攔截與修改 HTTP/S 請求 | | Repeater | 重送修改過的請求 | | Intruder | 自動化暴力測試 | | Scanner | 自動弱點掃描(專業版) | | Decoder | 編碼/解碼 | | Comparer | 比較請求差異 |
Intruder 攻擊類型
| 類型 | 說明 | 範例 | |------|------|------| | Sniper | 一個參數逐字元測試 | 測試密碼欄位 | | Battering ram | 多個參數用同一值 | 測試同時存在漏洞 | | Pitchfork | 多組 payload 同時測試 | 帳號+密碼組合 | | Cluster bomb | 所有組合 | 暴力破解 |
Vibe Prompt
「幫我用 Python 寫一個簡單的 Intruder 腳本,測試 API 的 Rate Limiting。」
import requests
import concurrent.futures
url = "https://api.target.com/login"
payloads = [f"password_{i}" for i in range(100)]
def try_password(pwd):
r = requests.post(url, json={"username": "admin", "password": pwd})
return pwd, r.status_code, r.elapsed.total_seconds()
with concurrent.futures.ThreadPoolExecutor(max_workers=10) as executor:
results = list(executor.map(try_password, payloads))
success = [r for r in results if r[1] == 200]
print(f"成功次數: {len(success)}")
print(f"平均回應時間: {sum(r[2] for r in results)/len(results):.3f}s")
課程總結
進階滲透測試完成!
- ✅ Burp Suite 核心功能
- ✅ Intruder 攻擊
- ✅ SQLMap 自動化
- ✅ 滲透測試報告