Burp Suite 實戰

Vibe Prompt

「幫我用 Burp Suite 攔截 HTTP 請求,修改參數後再發送,測試伺服器是否驗證輸入。」

基本功能

| 功能 | 用途 | |------|------| | Proxy | 攔截與修改 HTTP/S 請求 | | Repeater | 重送修改過的請求 | | Intruder | 自動化暴力測試 | | Scanner | 自動弱點掃描(專業版) | | Decoder | 編碼/解碼 | | Comparer | 比較請求差異 |

Intruder 攻擊類型

| 類型 | 說明 | 範例 | |------|------|------| | Sniper | 一個參數逐字元測試 | 測試密碼欄位 | | Battering ram | 多個參數用同一值 | 測試同時存在漏洞 | | Pitchfork | 多組 payload 同時測試 | 帳號+密碼組合 | | Cluster bomb | 所有組合 | 暴力破解 |

Vibe Prompt

「幫我用 Python 寫一個簡單的 Intruder 腳本,測試 API 的 Rate Limiting。」

import requests
import concurrent.futures

url = "https://api.target.com/login"
payloads = [f"password_{i}" for i in range(100)]

def try_password(pwd):
    r = requests.post(url, json={"username": "admin", "password": pwd})
    return pwd, r.status_code, r.elapsed.total_seconds()

with concurrent.futures.ThreadPoolExecutor(max_workers=10) as executor:
    results = list(executor.map(try_password, payloads))

success = [r for r in results if r[1] == 200]
print(f"成功次數: {len(success)}")
print(f"平均回應時間: {sum(r[2] for r in results)/len(results):.3f}s")

課程總結

進階滲透測試完成!

  • ✅ Burp Suite 核心功能
  • ✅ Intruder 攻擊
  • ✅ SQLMap 自動化
  • ✅ 滲透測試報告

本章總結

  • 理解核心概念與原理
  • 掌握實作方法與技巧
  • 熟悉常見問題與解決方案
  • 能夠應用於實際專案

延伸閱讀

  • 官方文件與 API 參考
  • GitHub 開源專案範例
  • 相關技術書籍與課程
  • 社群討論與技術部落格

實作範例

基礎範例

# 本節提供一個完整的實作範例
# 讓你能夠將所學應用到實際專案中

步驟說明

  1. 初始化:設定開發環境與必要工具
  2. 資料準備:收集與整理所需資料
  3. 核心實作:實作主要功能與邏輯
  4. 測試驗證:確保功能正確運作
  5. 最佳化:調整效能與使用者體驗

常見錯誤

| 錯誤類型 | 可能原因 | 解決方法 | |---------|---------|---------| | 編譯錯誤 | 語法問題 | 檢查程式碼語法 | | 執行錯誤 | 環境問題 | 確認相依套件已安裝 | | 邏輯錯誤 | 演算法問題 | 逐步除錯與測試 | | 效能問題 | 效率問題 | 使用效能分析工具 |

程式碼範例

# 範例程式碼
import sys

def main():
    # 主程式邏輯
    print("Hello, World!")

if __name__ == "__main__":
    main()

相關資源

  • 官方文件
  • API 參考手冊
  • 開源專案範例
  • 技術社群討論

会員限定無料チュートリアル

このチャプターは登録会員限定の無料コンテンツです!ログインまたは登録してすぐにロックを解除してください。

今すぐログイン / 登録