Burp手机抓包使用过程

作者:超级管理员 更新时间:2017-10-31 10:58:55 来源:未知 点击:15642
  写作背景:在上一篇文档中介绍了如何配置手机抓包的全过程,其中有网友留言问配置完成后是否可以进行抓包,答案当然是肯定的;此外,查阅了网上相关资料,大部分是介绍如何配置的过程,很少介绍具体操作的步骤,
   写作背景:在上一篇文档中介绍了如何配置 手机抓包的全过程,其中有网友留言问配置完成后是否可以进行抓包,答案当然是肯定的;此外,查阅了网上相关资料,大部分是介绍如何配置的过程,很少介绍具体操作的步骤,所以总结了下面这篇文档
  下面从burpsuite常用功能点和 具体抓包过程进行介绍
  一.常用的功能
  简单介绍几个功能选项,帮助大家在 测试过程中简单清晰的完成目标,节约时间
   1.删除多余记录
  若抓包过程中记录中没有自己需要的包,或者需要重新进行抓包操作的时候,我们需要将多余的记录进行清空,执行操作步骤如下:
   
图1 删除记录
  A. Proxy(HTTP history)tab下选中要删除记录(这里我执行全选操作CTRL+A)
  B. 右键选择Deleted selected items
  执行以上两步,就会发现所选记录被删除
   2.搜索
  这个功能可以快速搜索与关键词相关的记录,比如想搜索"baidu",在结果列表页就显示出和"biadu"相关的所有内容,是不是很方便,当然这个功能有个小限制,只有在专业版上才可使用
   
图2 搜索功能【专业版】
  3.项目提醒
  表格最左列的下拉菜单设置单个项目醒目,选择喜欢的颜色,该条记录就已经注释出了自己标注的颜色,这样就可以快速找到你感兴趣的项目。
   
图3 项目提醒
   4.配置过滤器
  在我看来配置过滤器跟其实跟搜索功能实现的效果差不多,唯一的区别是可以不输入关键字而是通过类型、状态码和扩展名进行筛选。一些应用程序包含大量的内容,通过滤器栏让你能精确地设置在地图上显示那些内容:
  
图4 过滤器
  注意:如果你不知道你所要抓包的类型,可以再MIME type下分别勾选类型名,观察勾选后列表是否存在所有筛选的记录,如果是的话以后就可以直接勾选进行筛选了
   5.保存和恢复项目选项
  当你经常使用一个场景的项目配置场景时,通过保存和恢复,再次启动Burp,直接打开上次保存的项目名称即可。
  
图5 保存和恢复项目
  二.具体抓包过程
  前提:手机和电脑已完成连接配置
   1.定位抓包记录
  手机端启动app,执行要抓包页面的操作,比如这里以"91助手"进行介绍,可以在Proxy-Http history tab下查看,也可以在Target-Site map tab下查看抓取的包记录, http history有一点的好处是记录默认随着app操作倒叙排列,容易定位要抓取的包
  如果需要更改顺序,可以shift+点击最左边的列。在history tab目录下就会显示app启动过程中所有的请求响应结果。
  
图6 请求响应结果
  在这里,你会问记录那么多,我怎么知道要截取哪些记录的日志呢?
  首先测试app的host是固定的,就是你截取包前这些是已知的,最重要的一点是通过URL地址判定是否你需要的包(一般报BUG后开发人员要求截包,你可以向开发人员询问要截取的URL地址),刚开始都是需要这个过程的,如果时间长了,你就会知道mxlog结尾的是埋点的标志等。
   2.确认抓包记录是否正确
  确定记录后,点击单条记录,在Request Raw 下会显示包内容图,如果对抓包的准确性存在疑惑,也可以复制所有内容,打开站长网站进行解码操作图,粘贴到笔记本中查找操作的关键字
  
图7 包内容
   
图8 解码
   3.保存内容
  到现在你已经完成了90%,只差一步保存就OK了
  右键点击记录,选择save item,选择保存路径,保存成功,可通过记事本打开查看
  
图9 保存
版权声明:本文出自 《51测试天地》原创测试文章系列(四十七)投稿。51Testing软件测试网及相关内容提供者拥有51testing.com内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。
相关推荐:
《51测试天地》原创测试文章系列(四十七)

【推荐】Appium直播课早鸟价限时优惠,APP自动化的首选利器>>

推荐阅读

热门内容

让 Python 更加充分的使用 Sql

  我最近在涉及大量数据处理的项目中频繁...

2017年中国程序员调查分析:大数据就业

  在互联网行业,程序员一直是很受关注的...

美国人看待科技巨头:苹果、FB和Twit

  新浪科技讯北京时间10月30日早间消...

网易:将按照广电总局意见 对“大逃杀”类

  “大逃杀”类游戏的火爆,引起了相关部...

从四大公司财报看行业走向:云计算业务真的

  网易科技讯消息,据路透社报道,亚马逊...

物联网的应用会让黑客掌控一切吗?

  由于了解一些技术,密码和安全性,行业...

Burp手机抓包使用过程

  写作背景:在上一篇文档中介绍了如何配...

LoadRunner 中怎么对日期进行参

  【背景】  今天在51Testing...

OpenStack Rally 性能测试

  注意点:在测试nova,在配置文件里...

测试微服务之建立测试文化

  这是由来自AWS的工程师Nathan...

最新内容

让 Python 更加充分的使用 Sqlite3

  我最近在涉及大量数据处理的项目中频繁使用sqlite3。我最初的尝试根本不涉...

PHP实现网站访问量计数器

简单的网站访问量计数器实现,具体如下首先说明思路:1.用户向服务器发出访问请求2...

2017年中国程序员调查分析:大数据就业前景广阔

  在互联网行业,程序员一直是很受关注的人群。特别对准备步入社会的大学生们来说,...

美国人看待科技巨头:苹果、FB和Twitter最不受信任

  新浪科技讯北京时间10月30日早间消息,自从史蒂夫·乔布斯(SteveJob...

网易:将按照广电总局意见 对“大逃杀”类游戏整改

  “大逃杀”类游戏的火爆,引起了相关部门的注意。  10月27日,中国音数协游...

从四大公司财报看行业走向:云计算业务真的很热

  网易科技讯消息,据路透社报道,亚马逊、微软、Alphabet子公司谷歌以及英...

物联网的应用会让黑客掌控一切吗?

  由于了解一些技术,密码和安全性,行业专家认为其电子设备在防御黑客方面是非常安...

结构体总的字节数的理解

大家好,在自学结构体这一节时,书上有这样一个例子:    struct Stud...

Burp手机抓包使用过程

  写作背景:在上一篇文档中介绍了如何配置手机抓包的全过程,其中有网友留言问配置...

C#基础问题:只读,关于Array.IsReadOnly和IList.IsReadOnly

不清楚为什么问题列表看不到我的问题,无奈再开一贴原题贴以下是关于本问题的解决方案...

md5加密,要加密的串带有特殊字符

现在在做跨境物流,需要接法国物流接口。接口需要传个安全秘钥,这个秘钥就是规定的几...

backgroundWorker关于Winform最简单的线程问题,请求各位指导一下

我想使用backgroundWorker1,启动应用后每隔20秒去读取数据库,看...

一个小问题求助

类似图中数据,要筛选出MesNum与InventoryNum不同的数据该怎么写 ...

WPF 自定义的DependencyProperty属性不被识别

定义了一个多选的Comobox,自定义依赖属性在调用时不被识别,不知道为什么。p...

ArcGis For JavaSrcipt 如何加载shp和dwg和dbf文件?

如何加载?跪求大神指导。并且可以清除掉!!以下是关于本问题的解决方案:...

一条sql语句,把重复记录的字段的值相加

本帖最后由NewCSDN2005于2017-10-2915:35:27编辑acc...

链接带的有?id=xxx,查询结果一直显示id为xxx的咋办?

一个链接,比如www.baidu.com链接要点进去直接显示某个人,而不是所有就...

通过数据库获取 like '%[螺丝]%' 怎么写代码!

通过数据库获取 like '%[螺丝]%' 怎么写代码SELECT top 5 ...

winform客户端界面与其他软件相似,需要修改界面

项目开始的时候,领导一句话照着XXX软件实现这些功能,项目全程就我一个人开发,然...

Dev GridControl 单元格为空验证弹框问题!!! 希望有人能解决了

怎么阻止对话框弹出,并且在有空值得情况下不允许添加新行以下是关于本问题的解决方案...