作者:hacker发布时间:2022-09-11分类:邮箱破解浏览:100评论:5
刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了Burp Suite,除了它功能强大之外,还有就是好用,易于上手。于是就从网上下载了一个破解版的来用,记得那时候好像是1.2版本,功能也没有现在这么强大。在使用的过程中,慢慢发现,网上系统全量的介绍BurpSuite的书籍太少了,大多是零星、片段的讲解,不成体系。后来慢慢地出现了不少介绍BurpSuite的视频,现状也变得越来越好。但每每遇到不知道的问题时,还是不得不搜寻BurpSuite的官方文档和英文网页来解决问题,也正是这些问题,慢慢让我觉得有必要整理一套全面的BurpSuite中文教程,算是为web安全界做尽自己的一份微薄之力,也才有了你们现在看到的这一系列文章。
我给这些文章取了IT行业图书比较通用的名称: 《BurpSuite实战指南》,您可以称我为中文编写者,文章中的内容主要源于BurpSuite官方文档和多位国外安全大牛的经验总结,我只是在他们的基础上,结合我的经验、理解和实践,编写成现在的中文教程。本书我也没有出版成纸质图书的计划,本着IT人互联分享的精神,放在github,做免费的电子书。于业界,算一份小小的贡献;于自己,算一次总结和锻炼。
以上,是为小记。
感谢您阅读此书,阅读过程中,如果发现错误的地方,欢迎发送邮件到 t0data@hotmail.com,感谢您的批评指正。
本书包含以下章节内容:
第一部分 Burp Suite 基础
Burp Suite 安装和环境配置
Burp Suite代理和浏览器设置
如何使用Burp Suite 代理
SSL和Proxy高级选项
如何使用Burp Target
如何使用Burp Spider
如何使用Burp Scanner
如何使用Burp Intruder
如何使用Burp Repeater
如何使用Burp Sequencer
如何使用Burp Decoder
如何使用Burp Comparer
第二部分 Burp Suite 高级
数据查找和拓展功能的使用
BurpSuite全局参数设置和使用
Burp Suite应用商店插件的使用
如何编写自己的Burp Suite插件
第三部分 Burp Suite 综合使用
使用Burp Suite测试Web Services服务
使用Burp, Sqlmap进行自动化SQL注入渗透测试
使用Burp、PhantomJS进行XSS检测
使用Burp 、Radamsa进行浏览器fuzzing
使用Burp 、Android Killer进行安卓app渗透测试
第一章 Burp Suite 安装和环境配置
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。
Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动化流程,然后它才会开始工作。
Burp Suite可执行程序是java文件类型的jar文件,免费版的可以从免费版下载地址进行下载。免费版的BurpSuite会有许多限制,很多的高级工具无法使用,如果您想使用更多的高级功能,需要付费购买专业版。专业版与免费版的主要区别有
Burp Scanner
工作空间的保存和恢复
拓展工具,如Target Analyzer, Content Discovery和 Task Scheduler
本章主要讲述Burp Suite的基本配置,包含如下内容:
如何从命令行启动Burp Suite/br
如何设置JVM内存 大小/br
IPv6问题调试
如何从命令行启动Burp Suite
Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。但Burp Suite是用Java语言开发的,运行时依赖于JRE,需要提前Java可运行环境。
如果没有配置Java环境或者不知道如何配置的童鞋请参考win7电脑上的Java环境配置 配置完Java环境之后,首先验证Java配置是否正确,如果输入java -version 出现下图的结果,证明配置正确且已完成。
这时,你只要在cmd里执行java -jar /your_burpsuite_path/burpSuite.jar即可启动Burp Suite,或者,你将Burp Suite的jar放入class_path目录下,直接执行java -jar burpSuite.jar也可以启动。
==注意:your_burpsuite_path为你Burp Suite所在路径,burpSuite.jar文件名必须跟你下载的jar文件名称一致==
如何设置JVM内存 大小
如果Java可运行环境配置正确的话,当你双击burpSuite.jar即可启动软件,这时,Burp Suite自己会自动分配最大的可用内存,具体实际分配了多少内存,默认一般为64M。当我们在渗透测试过程,如果有成千上万个请求通过Burp Suite,这时就可能会导致Burp Suite因内存不足而崩溃,从而会丢失渗透测试过程中的相关数据,这是我们不希望看到的。因此,当我们启动Burp Suite时,通常会指定它使用的内存大小。 一般来说,我们通常会分配2G的内存供Burp Suite使用,如果你的电脑内存足够,可以分配4G;如果你的电脑内存足够小,你也可以分配128M。当你给Burp Suite分配足够多的内存时,它能做的工作也会更多。指定Burp Suite占用内存大小的具体配置方法是在启动脚本里添加如下命令行参数: 假设启动脚本的名称为burp_suite_start.bat,则该bat脚本的内容为
java -jar -Xmx2048M /your_burpsuite_path/burpsuite.jar
其中参数-Xmx指定JVM可用的最大内存,单位可以是M,也可以是G,如果是G为单位的话,则脚本内容为:
java -jar -Xmx2G /your_burpsuite_path/burpsuite.jar
更多关于JVM性能调优的知识请阅读 Oracle JVM Tuning
IPv6问题调试
Burp Suite是不支持IPv6地址进行数据通信的,这时在cmd控制台里就会抛出如下异常
java.net.SocketException: Permission denied
同时,浏览器访问时,也会出现异常
Burp proxy error: Permission denied: connect
当出现如上问题时,我们需要修改启动脚本,添加对IPv4的指定后,重启Burp Suite即可。
java -jar -Xmx2048M -Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar
通过 -Djava.net.preferIPv4Stack=true参数的设置,告诉Java运行环境,使用IPv4协议栈进行数据通信,IPv6协议将会被禁止使用。 这个错误最常见于64位的windows操作系统上,使用了32位的JDK
第二章 Burp Suite代理和浏览器设置
Burp Suite代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数据、服务器端的返回信息等。Burp Suite主要拦截http和https协议的流量,通过拦截,Burp Suite以中间人的方式,可以对客户端请求数据、服务端返回做各种处理,以达到安全评估测试的目的。
在日常工作中,我们最常用的web客户端就是的web浏览器,我们可以通过代理的设置,做到对web浏览器的流量拦截,并对经过Burp Suite代理的流量数据进行处理。
下面我们就分别看看IE、Firefox、Google Chrome下是如何配置Burp Suite代理的。
IE设置
当Burp Suite 启动之后,默认分配的代理地址和端口是127.0.0.1 :8080,我们可以从Burp Suite的proxy选项卡的options上查看。如图:
现在,我们通过如下步骤的设置即可完成IE通过Burp Suite 代理的相关配置。
启动IE浏览器
点击【工具】菜单,选择【Internet】选项
打开【连接】选项卡,点击【局域网设置】,进行代理设置。
在代理服务器设置的地址输入框中填写127.0.0.1,端口填写8080,点击【确定】,完成代理服务器的设置。
这时,IE的设置已经完成,你可以访问 将会看到Burp Suite的欢迎界面。
FireFox设置
与IE的设置类似,在FireFox中,我们也要进行一些参数设置,才能将FireFox浏览器的通信流量,通过BurpSuite代理进行传输。详细的步骤如下:
启动FireFox浏览器,点击【工具】菜单,点击【选项】。
在新打开的about:preferences#advanced窗口中,依次点击【高级】-【网络】,我们将会看到FireFox连接网络的设置选项。
点击【设置】,在弹出的【连接设置】对话框中,找到“http代理”,填写127.0.0.1,端口填写8080,最后点击【确认】保存参数设置,完成FireFox的代理配置。
当然,FireFox浏览器中,可以添加FireFox的扩展组件,对代理服务器进行管理。例如FireX Proxy、Proxy Swither都是很好用的组件,感兴趣的读者可以自己下载试用一下。
Google Chrome设置
Google Chrome使用Burp Suite作为代理服务器的配置步骤如下:
启动Google Chrome浏览器,在地址栏输入chrome://settings/,回车后即显示Google Chrome浏览器的配置界面
点击底部的【显示高级设置】,将显示Google Chrome浏览器的高级设置。
当然,你也可以直接在搜索框中输入“代理”,回车后将自动定位到代理服务器设置功能。
点击【更改代理服务器设置】,windows系统下将会弹出IE浏览器的代理设置,此时,按照IE浏览器的设置步骤,完成代理服务器的配置即可。
除了上述的三种常用的浏览器外,还有Safari浏览器也有不少的用户在使用,其代理配置请点击阅读进行查看。
第三章 如何使用Burp Suite代理
Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。
本章主要讲述以下内容:
Burp Proxy基本使用
数据拦截与控制
可选项配置Options
历史记录History
Burp Proxy基本使用
通过上一章的学习,我们对Burp Suite代理模式和浏览器代理设置有了基本的了解。Burp Proxy的使用是一个循序渐进的过程,刚开始使用时,可能并不能很快就获取你所期望的结果,慢慢地当你熟悉了它的功能和使用方法,你就可以用它很好地对一个产品系统做安全能力评估。 一般使用Burp Proxy时,大体涉及环节如下:
首先,确认JRE已经安装好,Burp Suite可以启动并正常运行,且已经完成浏览器的代理服务器配置。
打开Proxy功能中的Intercept选项卡,确认拦截功能为“Interception is on”状态,如果显示为“Intercept is off”则点击它,打开拦截功能。
打开浏览器,输入你需要访问的URL(以为例)并回车,这时你将会看到数据流量经过Burp Proxy并暂停,直到你点击【Forward】,才会继续传输下去。如果你点击了【Drop】,则这次通过的数据将会被丢失,不再继续处理。
当我们点击【Forward】之后,我们将看到这次请求返回的所有数据。
当Burp Suite拦截的客户端和服务器交互之后,我们可以在Burp Suite的消息分析选项卡中查看这次请求的实体内容、消息头、请求参数等信息。消息分析选项视图主要包括以下四项:
Raw 这是视图主要显示web请求的raw格式,包含请求地址、http协议版本、主机头、浏览器信息、Accept可接受的内容类型、字符集、编码方式、cookie等。你可以通过手工修改这些信息,对服务器端进行渗透测试。
params 这个视图主要显示客户端请求的参数信息、包括GET或者POST请求的参数、Cookie参数。渗透人员可以通过修改这些请求参数来完成对服务器端的渗透测试。
headers 这个视图显示的信息和Raw的信息类似,只不过在这个视图中,展示得更直观、友好。
Hex 这个视图显示Raw的二进制内容,你可以通过hex编辑器对请求的内容进行修改。
默认情况下,Burp Proxy只拦截请求的消息,普通文件请求如css、js、图片是不会被拦截的,你可以修改默认的拦截选项来拦截这些静态文件,当然,你也可以通过修改拦截的作用域、参数或者服务器端返回的关键字来控制Burp Proxy的消息拦截,这些在后面的章节中我们会进一步的学习。 所有流经Burp Proxy的消息,都会在http history记录下来,我们可以通过历史选项卡,查看传输的数据内容,对交互的数据进行测试和验证。同时,对于拦截到的消息和历史消息,都可以通过右击弹出菜单,发送到Burp的其他组件,如Spider、Scanner、Repeater、Intruder、Sequencer、Decoder、Comparer、Extender,进行进一步的测试。如下图所示:
数据拦截与控制
Burp Proxy的拦截功能主要由Intercept选项卡中的Forward、Drop、Interception is on/off、Action、Comment 以及Highlight构成,它们的功能分别是: Forward的功能是当你查看过消息或者重新编辑过消息之后,点击此按钮,将发送消息至服务器端。 Drop的功能是你想丢失当前拦截的消息,不再forward到服务器端。Interception is on表示拦截功能打开,拦截所有通过Burp Proxy的请求数据;Interception is off表示拦截功能关闭,不再拦截通过Burp Proxy的所有请求数据。 Action的功能是除了将当前请求的消息传递到Spider、Scanner、Repeater、Intruder、Sequencer、Decoder、Comparer组件外,还可以做一些请求消息的修改,如改变GET或者POST请求方式、改变请求body的编码,同时也可以改变请求消息的拦截设置,如不再拦截此主机的消息、不再拦截此IP地址的消息、不再拦截此种文件类型的消息、不再拦截此目录的消息,也可以指定针对此消息拦截它的服务器端返回消息。
Comment的功能是指对拦截的消息添加备注,在一次渗透测试中,你通常会遇到一连串的请求消息,为了便于区分,在某个关键的请求消息上,你可以添加备注信息。
Highlight的功能与Comment功能有点类似,即对当前拦截的消息设置高亮,以便于其他的请求消息相区分。
除了Intercept中可以对通过Proxy的消息进行控制外,在可选项设置选项卡Options中也有很多的功能设置也可以对流经的消息进行控制和处理。
可选项配置Options
当我们打开可选项设置选项卡Options,从界面显示来看,主要包括以下几大板块(涉及https的功能不包含在本章内容里,后面会一章专门叙述):
客户端请求消息拦截
服务器端返回消息拦截
服务器返回消息修改
正则表达式配置
其他配置项
客户端请求消息拦截
客户端请求消息拦截是指拦截客户端发送到服务器端消息的相关配置选项,其界面如下:
主要包含拦截规则配置、错误消息自动修复、自动更新Content-Length消息头三个部分。
如果intercept request based on the follow rules的checkbox被选中,则拦截所有符合勾选按钮下方列表中的请求规则的消息都将被拦截,拦截时,对规则的过滤是自上而下进行的。当然,我们可以根据自己的需求,通过【Up】和【Down】按钮,调节规则所在位置和排序。同时,我们可以点击【Add】添加一条规则,也可以选中一条规则,通过点击【Edit】进行编辑、点击【Remove】进行删除。当我们点击【Add】按钮时,会弹出规则添加的输入对话框,如下图:
拦截规则添加时,共包含4个输入项。Boolean opertor表示当前的规则与其他规则是与的方式(And)还是或的方式(Or)共存;Match type表示匹配类型,此处匹配类型可以基于域名、IP地址、协议、请求方法、URL、文件类型、参数, cookies, 头部或者内容, 状态码, MIME类型, HTML页面的title等。Match relationship表示此条规则是匹配还是不匹配Match condition输入的关键字。当我们输入这些信息,点击【OK】按钮,则规则即被保存。
如果Automatically fix missing的checkbox被选中,则表示在一次消息传输中,Burp Suite会自动修复丢失或多余的新行。比如说,一条被修改过的请求消息,如果丢失了头部结束的空行,Burp Suite会自动添加上;如果一次请求的消息体中,URl编码参数中包含任何新的换行,Burp Suite将会移除。此项功能在手工修改请求消息时,为了防止错误,有很好的保护效果。
如果Automatically update Content-Length的checkbox被选中,则当请求的消息被修改后,Content-Length消息头部也会自动被修改,替换为与之相对应的值。
人气指标AR与意愿指标BR
人气指标(AR)与意愿指标(BR)
人气指标(AR)和意愿指标(BR)都是以分析历史股价为手段的技术指标,其中人气指标较重视开盘价格,从而反映市场买卖的人气;意愿指标则重视收盘价格,反映的是市场买卖意愿的程度,两项指标分别从不同角度股价波动进行分析,达到追踪股价未来动向的共同目的。
1.人气指标
人气指标是以当天开市价为基础,即以当天市价分别比较当天最高,最低价,通过一定时期内开市价在股价中的地位,反映市场买卖人气。人气指标的计算公式为:
AR=N日内(H-O)之和/N日内(O-L)之和
其中:H=当日最高价;L=当日最低价;O=当日开市价
N为公式中的设定参数,一般设定为26日。
人气指标的基本应用法则:
(1)AR值以100为中心地带,其±20之间,即AR值在60-120之间波动时,属盘整行情,股价走势比较平稳,不会出现剧烈波动。
(2)AR值走高时表示行情活跃,人气旺盛,过高则表示股价进入高价,应选择时机退出,AR值的高度没有具体标准,一般情况下,AR值上升至150以上时,股价随时可能回档下跌。
(3)AR值走低时表示人气衰退,需要充实,过低则暗示股价可能跌入低谷,可考虑伺机介入,一般AR值跌至70以下时,股价有可能随时反弹上升。
(4)从AR曲线可以看出一段时期的买卖气势,并具有先于股价到达峰或跌入谷底的功能,观图时主要凭借经验,以及与其他技术指标配合使用。
2.意愿指标
意愿指标是以昨日收市价为基础,分别与当日最高,最低价相比,通过一定时期收市收在股价中的地位,反映市场买卖意愿的程度,意愿指标的计算公式为:
BR=N日内(H-CY)之和/N日内(CY-L)之和(来源:中国股票网)
其中:CY=昨日收市价,N为公式中的设定参数,一般设定值同AR一致。
意愿指标的基本应用法则:
(1)BR值的波动较AR值敏感,当BR值在70-150之间波动时,属盘整行情,应保持观望。
(2)BR值高于400以上时,股价随时可能回档下跌,应选择时机卖出;BR值低于50以下时,股价随时可能反弹上升,应选择时机买入。
一般情况下,AR可以单独使用,BR则需与AR并用,才能发挥效用,因此,在同时计算AR,BR时,AR与BR曲线应绘于同一图内,AR与BR合并后,应用及研判的法则如下:
①AR和BR同时急速上升,意味股价峰位已近,持股时应注意及时获利了结。
②BR比AR低,且指标处于低于100以下时,可考虑逢低买进。
③BR从高峰回跌,跌幅达1.2时,若AR无警戒讯号出现,应逢低买进。
④BR急速上升,AR盘整小回时,应逢高卖出,及时了结。
在AR,BR指标基础上,还可引入CR指标,作为研判和预测走势的参考指标。
CR是以昨日之中间价为计算基础,理论上,比中间价高的价位其能量为“强”,比中间价低的价位其能量为“弱”,CR以N日内昨日中间价比较当日最高,最低价,计算出一段时期内的“弱分之强”指标,从而分析在股价波动中的神秘内容,对解决股价涨跌时间问题亦有一定帮助。
CR的计算公式为:
CR=N日内(H-PM)之和/N日内(PM-L)之和
其中:PM=昨日中间价,中间价=(最高+最低价+收市价)/3,H=最高价,L=最低价
CR在应用上,其急升,急落和其他变化,同AP,BR可作相同解释,CR的性格价于AR和BR之间,一般比较接近BR,当CR低于100时,一般情况下买进后的风险不大。
意愿指标(BR)
一、意愿指标
BR指标反映的是昨日收盘价与今日最高价和最低价之间的强弱走势从而反映股指意愿
二、公式
BR(n)=∑(当日最高价-昨日收盘价)÷∑(昨日收盘价-当日最低价)×100
• ∑:n日内股价之差总和
n:赢正软件中系统默认n值为5、10、30、65
三、BR分析要领
1. 运用意愿指标应该综合其它技术指标共同分析。
2. BR在70~150之间时为盘整状态,不必急于入市。
3. BR值趋近300时,注意股价反跌,投资者不可追涨。BR低于50时,股市反弹的可能性很大,可以考虑逢低买入。
4. AR结合使用
BR、AR均急跌,表明股价以到顶,反跌在即投资者应尽快出货;
BR比AR低,且AR<50,表明股价已经到底,投资者可吸纳低股;
BR急速高升,而AR处在盘整或小跌时,表明股价正在上升;
BR>AR,又转为BR<AR时,也可买进;
BR攀至高峰,又以50的跌幅出现时,投资者也可低价进货,待股价升高再卖出。
否极泰来BRAR
否极泰来BRAR
公式概说
① 多头力道强度=今天最高价-昨天收盘价
② 空头力道强度=昨天收盘价-今天最低价
如果①和②≤0,则一律记录成0
③ 多头总强度=26天的多头力道总和
④ 空头总强度=26天的空头力道总和
⑤ BR=(③÷④)× 100
① 向上推力=今天最高价-今天开盘价
② 向下重力=今天开盘价-今天最低价
③ 推力和=26大的向上推力总和
④ 重力和=26天的向下重力总和
⑤ AR=(③÷④)×100
除权除息不影响AR的计算数据,所以不须要做调整。
BR、AR的周期参数可变更为13或52,但是经笔者多年来的测试,仍然以26天的周期参数最适宜,一旦修改之后,则其剑法剑招也有所不同。
来龙去脉
BRAR源起于日本,图表外观看似西方技术指标,实则蕴含东方“气”的哲学,“气极则衰,衰极则盛”,是我们中国太极阴阳循环的道理,股市群众的情绪,更是将“阳盛则衰,阴盛则强”的道理,发挥得淋漓尽致,BRAR就是从这层道理上衍生出来的,读者如果无法从这个角度看待BRAR,则很难渗透BRAR指标的内涵。
BR是一种“情绪指标”,套句西方的分析观点,就是以“反市场心理”的立场为基础,当众人一窝蜂的买股票,市场上充斥着大大小小的好消息,报章杂志纷纷报道经济增长率大幅上扬,刹那间,前途似乎一片光明,此时,你应该断然离开市场。相反地,当群众已经对行情失望,市场一片看坏的声浪时,你应该毅然决然的进场默默承接。无论如何,这一条路是孤独的,你必须忍受寂寞,克服困难走和别人相反的道路。(中国股票网)
AR是一种“潜在动能”。由于开盘价乃是股民经过一夜冷静思考后,共同默契的一个合理价格,那么,从开盘价向上推升至当日最高价之间,每超越一个价位都会损耗一分能量。当AR值升高至一定限度时,代表能量已经消耗殆尽,缺乏推升力道的股价,很快的就会面临反转的危机。相反地,股价从开盘之后并未向上冲高,自然就减少能量的损耗,相对的也就屯积保存了许多累积能量,这一股无形的潜能,随时都有可能在适当成熟的时机暴发出来。
我们一方面观察BR的情绪温度,一方面追踪AR能量的消长,以这个角度对待BRAR的变化,用‘心’体会股价的脉动,这是使用BRAR的最高境界。
剑 法
①
BR是以100为中心,当BR位于100时,意指群众的情绪完全处于一种极度均衡的状态,当股价开始波动时,BR会上升至200~300~400,也会下降至80~60~
40,下列表(1)显示群众对后市的看法:
BRAR人气指标实战应用
使用方法:
1. ar(黄线)在上,br(白线)在下,好事!买气足,即使再跌,以后也必可高过现价。
2.当白黄粘合齐上行,股价买乞气足,仍会上行.
3.当股价上行一段时间后白线上穿黄线并开始远离黄线或白线上行黄线走平(向下),表明买气不足,要跌了.
4.股价下跌,白黄均掉头向下,白下穿黄,若双线止跌,股价要反弹.
我们当初用此法寻到的黑马(例0939凯地电力99年12月1日2000年1月5日600720祁连山; 卖出的例子600874st渤化99年12月17日. 600151航天机电99年6月29.
公式概说
① 多头力道强度=今天最高价-昨天收盘价
② 空头力道强度=昨天收盘价-今天最低价
如果①和②≤0,则一律记录成0
③ 多头总强度=26天的多头力道总和
④ 空头总强度=26天的空头力道总和
⑤ BR=(③÷④)× 100
① 向上推力=今天最高价-今天开盘价
② 向下重力=今天开盘价-今天最低价
③ 推力和=26大的向上推力总和
④ 重力和=26天的向下重力总和
⑤ AR=(③÷④)×100
除权除息不影响AR的计算数据,所以不须要做调整。
BR、AR的周期参数可变更为13或52,但是经笔者多年来的测试,仍然以26天的周期参数最适宜,一旦修改之后,则其剑法剑招也有所不同。
来龙去脉
BRAR源起于日本,图表外观看似西方技术指标,实则蕴含东方“气”的哲学,“气极则衰,衰极则盛”,是我们中国太极阴阳循环的道理,股市群众的情绪,更是将“阳盛则衰,阴盛则强”的道理,发挥得淋漓尽致,BRAR就是从这层道理上衍生出来的,读者如果无法从这个角度看待BRAR,则很难渗透BRAR指标的内涵。
BR是一种“情绪指标”,套句西方的分析观点,就是以“反市场心理”的立场为基础,当众人一窝蜂的买股票,市场上充斥着大大小小的好消息,报章杂志纷纷报道经济增长率大幅上扬,刹那间,前途似乎一片光明,此时,你应该断然离开市场。相反地,当群众已经对行情失望,市场一片看坏的声浪时,你应该毅然决然的进场默默承接。无论如何,这一条路是孤独的,你必须忍受寂寞,克服困难走和别人相反的道路。
AR是一种“潜在动能”。由于开盘价乃是股民经过一夜冷静思考后,共同默契的一个合理价格,那么,从开盘价向上推升至当日最高价之间,每超越一个价位都会损耗一分能量。当AR值升高至一定限度时,代表能量已经消耗殆尽,缺乏推升力道的股价,很快的就会面临反转的危机。相反地,股价从开盘之后并未向上冲高,自然就减少能量的损耗,相对的也就屯积保存了许多累积能量,这一股无形的潜能,随时都有可能在适当成熟的时机暴发出来。
我们一方面观察BR的情绪温度,一方面追踪AR能量的消长,以这个角度对待BRAR的变化,用‘心’体会股价的脉动,这是使用BRAR的最高境界。
剑 法
①
BR是以100为中心,当BR位于100时,意指群众的情绪完全处于一种极度均衡的状态,当股价开始波动时,BR会上升至200~300~400,也会下降至80~60~
40,下列表(1)显示群众对后市的看法:
BR看好后市 看坏后市
600= 86人14人
500= 83人17人
400= 80人20人
300= 75人25人
250= 71人29人
200= 67人33人
150= 60人40人
100= 50人50人
70= 42人58人
50= 33人67人
30= 24人76人
10= 10人90人
② BR在超过300以上,很容易引发获利回吐的卖压。
③ BR由80→60→40下降至低水平位置,并且持续一段较长时间时,股价正在 蕴酿底部的可能性相当大。
④ BR先在100附近的均衡状态徘徊,而后开始上升,则由此均衡状态区内的低点起算,BR上涨一倍时为获利卖出的好机会。
⑤ BR由高档下降一半,此时选择股价回档买进,成功率可以高达95%。
⑥ AR由60→80→120→150上升至180以上时,必须时刻注意股价反转下跌的机会相当大。
⑦ AR由100→80→60→40逐步下降时,代表能量已经累积至一定成熟程度。
破 绽
①
BRAR指标的讯号不如其他指标明确,许多关键点必须靠个人的领悟及自由心证,并且国际间各个不同市场,其BRAR高低档数据皆不尽相同,投资人初开始运用时颇费心思。
②
BR超过300以上,虽然代表人气非常狂热,但是,人气有时候会失控,BR会从300→500→700→1000无止尽的上升,此时,股民无法辨别何时是人气最狂热的颠峰阶段?
注意!BR一旦超过300以上持续上升,则其数据会以三级跳的方式前进,此为其计算公式的特征。
破 解
① 虽然BRAR高低档的位置,不同的市场都不相同,但是大体上,BR300~500
及AR180~200为高档,BR、AR低于50为低档,这些范围差距不会太大。各位把每只股票一年来的BRAR走势浏览一遍,立刻可以界定出各股的高低档位置。
②
面对BR超强的冲力时,由于BR可以永无止境的向上沿伸,当你眼见BR超过300、400却仍无向下转弯的迹象时,立刻放弃使用BR指标,改采用CR指标。
秘 籍
当BR由高档下降,此时AR位于40左右的低水平,持续蓄积能量,而BR由上而下缓慢的接受AR,几乎达到碰触的阶段。或且略低于AR时,为千载难逢的买进时机,又称为最怯的狙击买点。
何谓BR从高档下降?这是有严格定义的。也就是说,之前BR曾经上升至300 ~
400以上的高档,并且促使股价产生一次反转下跌,然后一路逐步的下滑。但是,下滑的过程当中,无论股价是否曾经反弹,AR却没有消耗能量,反而在累积一股无形的潜能。然而由BR持续下降的情况研判,投资人对这个市场的态度越来越悲观。而就当群众情绪沮丧到某一个冰点时,BR的悲观情绪正好点燃了AR的爆发。因为,根据“物极必反”的道理,行情将出其不意的一触即发。
何谓“最佳狙击买点”?秘籍中的这个讯号,一年难得遇到一次,可以说相当罕见,投资人只能抱着守株待兔的心情等待它。一旦见到“狙击点”出现,立刻进场买进,赚了就跑。为什么呢?主要是“狙击点”虽然出现,但是却无法提供你何时卖出的讯号,有可能是一段行情的起涨点,也有可能只反弹一天,没有一定的标准。(来源:中国股票网)
这个讯号最大的特色是→→→“肯定可以赚钱,多寡不等”,如果你有足够的耐心,有“与人斗,不与天斗”的觉悟时,这一招可以让你以逸侍劳的长期获利,多数个股出现‘狙击买点’的时间都不一样,虽然每一只股票出现讯号的机会不多,但是,打完一只再换一只,如果上市公司的数目够多,相对的,能够狙击的机会也就增多。
想学股票知识,请到专业股票博客:
什么是ARBR指标?ARBR指标是什么意思?
ARBR指标(买卖意愿指标),分为BR指标,AR指标,前者为买卖意愿指标,后者为买卖气势指标,AR可单独使用,BR必须与AR并用。
AR指标又叫人气指标,BR指标又叫买卖意愿指标,它们是衡量市场上多空双方力量对比变化的最重要指标。它们既可以单独使用,更多情况下是一同使用,是一种中长期技术分析工具。
BRAR源起于日本,图表外观看似西方技术指标,实则蕴含东方“气”的哲学,“气极则衰,衰极则盛”,是我们中国太极阴阳循环的道理,股市群众的情绪,更是将“阳盛则衰,阴盛则强”的道理,发挥得淋漓尽致,BRAR就是从这层道理上衍生出来的,读者如果无法从这个角度看待BRAR,则很难渗透BRAR指标的内涵。
BR是一种“情绪指标”,套句西方的分析观点,就是以“反市场心理”的立场为基础,当众人一窝蜂的买股票,市场上充斥着大大小小的好消息,报章杂志纷纷报道经济增长率大幅上扬,刹那间,前途似乎一片光明,此时,你应该断然离开市场。相反地,当群众已经对行情失望,市场一片看坏的声浪时,你应该毅然决然的进场默默承接。无论如何,这一条路是孤独的,你必须忍受寂寞,克服困难走和别人相反的道路。
AR是一种“潜在动能”。由于开盘价乃是股民经过一夜冷静思考后,共同默契的一个合理价格,那么,从开盘价向上推升至当日最高价之间,每超越一个价位都会损耗一分能量。当AR值升高至一定限度时,代表能量已经消耗殆尽,缺乏推升力道的股价,很快的就会面临反转的危机。相反地,股价从开盘之后并未向上冲高,自然就减少能量的损耗,相对的也就屯积保存了许多累积能量,这一股无形的潜能,随时都有可能在适当成熟的时机暴发出来。
我们一方面观察BR的情绪温度,一方面追踪AR 能量的消长,以这个角度对待 BRAR的变化,用‘心’体会股价的脉动,这是使用BRAR的最高境界。
AR、BR指标的原理
股票市场上的每一个交易日都要进行多空力量的较量。正确、全面地反映每一个交易日或某一段时期内的多空双方力量的对比。在一个交易日或某一段时期,多空双方的优势是不断地交替着,双方都有可能在一定时期内占据优势。如果一定时期内多方力量占据优势,股价将会不断上升;如果一定时期内空方力量占据优势,股价则会不断下跌;多空双方力量如果大致平衡,股价在会在某一区域内窄幅波动。而市场上多方力量大,则买方气势就会比较强、卖方气势就会减弱;市场上空方力量大,则卖方气势就会比较强、买方气势就会衰弱。
因此,股价走势的变动主要是由供求双方买卖气势和多空力量的对比造成的。
正如每个事物都有一个开始的地方一样,在股票市场上,多空双方的争斗都是从某一个均衡价位区(或基点)开始的。股价在这个均衡区上方,说明多方力量占优势;股价在这个平衡区下方,说明空方力量占优势。随着市场的进一步发展,股价会向上或向下偏离这一平衡价位区(或基点),股价偏离得越大,说明力量越大,偏离得越小,说明力量越小。因此。利用股票各种价格之间的关系,找到这个平衡价位区(或基点),对研判多空力量的变化起着重要的作用。而AR、BR指标就是根据股票的开盘价、收盘价、最高价和最低价之间的关系来分析多空力量的对比,预测股价的未来走势的。
AR指标是反映市场当前情况下多空双方力量发展对比的结果。它是以当日的开盘价为基点。与当日最高价相比较,依固定公式计算出来的强弱指标。
BR指标也是反映当前情况下多空双方力量争斗的结果。不同的是它是以前一日的收盘价为基础,与当日的最高价、最低价相比较,依固定公式计算出来的强弱指标。
标签:br渗透工具
已有5位网友发表了看法:
访客 评论于 2022-09-11 14:31:54 回复
为java -jar -Xmx2048M /your_burpsuite_path/burpsuite.jar其中参数-Xmx指定JVM可用的最大内存,单位可以是M,也可以是G,如果是
访客 评论于 2022-09-11 22:21:56 回复
我们当初用此法寻到的黑马(例0939凯地电力99年12月1日2000年1月5日600720祁连山; 卖出的例子600874st渤化99年12月17日. 600151航天机电99年6月29.公式概说① 多头力道强度=今天最高价-昨天收盘价②
访客 评论于 2022-09-11 21:07:32 回复
情绪沮丧到某一个冰点时,BR的悲观情绪正好点燃了AR的爆发。因为,根据“物极必反”的道理,行情将出其不意的一触即发。何谓“最佳狙击买点”?秘籍中的这个讯号,一年难得遇到一次,可以说相当罕见,投资人只能抱着守株待兔的心情等待它。一旦见到“狙击点”出现,立刻进场买进,赚了就
访客 评论于 2022-09-11 23:06:46 回复
多,相对的,能够狙击的机会也就增多。想学股票知识,请到专业股票博客:ARBR指标中BR迅速超越AR的情况,是什么导致了这个现象?欢迎详细答案什么是ARBR指标?ARB
访客 评论于 2022-09-11 19:06:05 回复
导航:1、如何通过修改burp suite 中的raw 信息进行渗透测试2、股市中技术指标AR为什么能单独使用,而BR则需与AR并用3、ARBR指标中BR迅速超越AR的情况,是什么导致了这个现象?欢迎详细答案如何通过修改burp suite 中的raw 信息进行渗透测试刚接触we