软件介绍
Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。
Burp Suite 是一个可靠且实用的平台,它为您提供了一种简单的方法来执行 Web 应用程序的安全测试。它使您可以完全控制,让您将先进的手动技术与各种工具结合起来,无缝地协同工作以支持整个测试过程。该实用程序易于使用且直观,无需您执行高级操作即可分析、扫描和利用 Web 应用程序。它具有高度可配置性,并具有有用的功能,可帮助经验丰富的测试人员完成工作。
主窗口显示您可以选择的所有可用工具,并以您想要的方式设置每个工具。
该应用程序设计为与您的浏览器一起工作,用作 HTTP 代理,因此来自浏览器的所有 HTTP/s 流量都通过该实用程序。这样,如果您想执行任何类型的测试,您需要配置浏览器以使用它。
您需要做的第一件事是确认应用程序的代理侦听器处于活动状态。只需导航到 Proxy 选项卡并查看 Proxy Listeners 部分。您应该会在表中看到一个条目,其中选中了 Running 复选框。您需要做的第二件事是将浏览器配置为使用应用程序的代理侦听器作为其 HTTP 代理服务器。最后,您需要将浏览器配置为能够毫无问题地通过应用程序发送 HTTP 请求。
前面提到的实用程序使您可以完全控制要执行的所有操作,并获取有关您正在测试的 Web 应用程序的详细信息和分析。使用 Intruder、Repeater、Sequencer 和 Comparer 等工具,您可以轻松执行不同的操作。
在 Spider 的帮助下,您可以抓取应用程序以定位其内容和功能。您可以通过选择协议并指定主机名或 IP 范围来添加新范围。然后该实用程序监视所有传输的字节和排队的请求。
Intruder 工具使您能够对 Web 应用程序执行攻击。只需设置主机名和端口号,定义一个或多个有效负载集即可。您还可以通过选中“目标”选项卡中的相应框来使用 HTTP 协议。
另一个自动化测试任务的工具称为 Sequencer,它分析应用程序会话令牌中随机性的质量。首先,您需要加载至少 100 个令牌,然后捕获所有请求。
总体而言,Burp Suite 免费版可让您以一种智能的方式实现所需的一切。它可以帮助您在浏览 Web 应用程序时记录、分析或重放您的 Web 请求。
专业版功能
– Burp Proxy
– Burp Spider
– Burp Repeater
– Burp Sequencer
– Burp Decoder
– Burp Comparer
– Burp Intruder
– Burp Scanner
– Save and Restore
– Search
– Target Analyzer
– Content Discovery
– Task Scheduler
– Release Schedule
下载地址
百度网盘
