Сайт настроен, работает и трендец, логина с паролем то нету! Ну что ж, это же сайт для тестирование на проникновение, значит будем проникать. Запускаем Burp, для которого нужна java, в факе есть информация по смене установленных версий java. Итак

# java -jar burp-loader-keygen1.7.31.jar

Ну и с лоадера стартуем барп

Тут мы можем создать новый проект, удобно для хранения результатов похождений, загрузить проект или создать временный проект.

Ну а тут можно выбрать загрузку конфигурационного файла, т.е. настройки не сохраняются сами, нужно сохранять и загружать их в ручную.

После запуска переходим в Proxy -> Intercept и выключаем его. Интерсептер позвлояет перехватить HTTP запрос, модифицировать и отправить дальше. Полезно при тестировании форм загрузки файлов.

Барп по сути находится между тобой и веб приложением, выступая в качестве прокси сервера. Это и позволяет ему перехватывать, модифицировать и вообще делать все что нужно с твоим трафиком. А для того чтобы барп мог снифать ssl трафик, нужно добавить сертификат барпа в браузер.

И импортируем сетификат в браузере

Теперь включаем прокси в браузере

И сразу как ты все настроишь, барп начнет перехват трафика. При этом барп пассивно анализирует запросы, пассивно потому что барп анализирует только запрос и ответ отправленные браузером. Начнем по порядку. Откроем наш подопытный сайт и попробуем пробиться в учетку.

Совершенно не стесняйся читать все что написано на экране. Поверь, многое можно понять если просто прочитать!