Burp Suite 2023 是一款优秀的网络安全防护工具,可以帮助用户详细了解和掌握计算机中的网络安全。这款软件注重防御而非攻击,并提供 Target 目标、Proxy 代理、Spider 蜘蛛、Scanner 扫描、Intruder 入侵、Repeater 中继器、Sequencer 定序器、Decoder 解码器以及 Comparer 比较器等多个模块,可以从多个角度分析网站安全性。它采用了先进的扫描技术,让用户可以看到最新的漏洞,还能不断提升安全测试能力。
Target (目标): 显示目标目录结构的功能。
Proxy (代理): 拦截 HTTP/S 的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截、查看、修改在两个方向上的原始数据流。
Spider (蜘蛛): 应用智能感应的网络爬虫,能够全面列举应用程序的内容和功能。
Scanner (扫描器): 高级工具,执行后,可以自动发现 web 应用程序的安全漏洞。
Intruder (入侵): 一个定制的高度可配置的工具,对 web 应用程序进行自动化攻击,如枚举标识符、收集有用数据,以及使用 fuzzing 技术探测常规漏洞。
Repeater (中继器): 一个依靠手动操作来触发单独的 HTTP 请求,并分析应用程序响应的工具。
Sequencer (会话): 用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder (解码器): 进行手动执行或对应用程序数据智能解码编码的工具。
Comparer (对比): 通常是通过一些相关的请求和响应获得两项数据的一个可视化的“差异”。
Extender (扩展): 可以让你加载 Burp Suite 的扩展,使用你自己的或第三方代码来扩展 Burp Suite 的功能。
Options (设置): 对 Burp Suite 的一些设置。
Burp Suite 的 Dashboard 是一个总览视图,显示有关目标和代理的重要信息。我们可以在仪表板上查看最近操作的摘要、目标的状态和代理相关的统计信息。
Target 模块用于识别和分析要测试的目标应用程序。我们可以将目标 URL 添加到 Target 模块,Burp Suite 将对这些目标进行主动或被动扫描,帮助发现安全漏洞。
Target 里有以下三个选项:
Site Map (地图映射): 显示目标网站的结构,便于用户了解其组成。
Issue Definitions (预定义问题): 提供预先设定好的漏洞类型,便于快速识别。
Scope Settings (范围设置): 控制测试范围,避免影响其他不必要的区域。
Proxy 模块是 Burp Suite 核心功能之一。通过配置和使用 Burp Suite 作为代理服务器,我们可以捕获和修改应用程序与服务器之间的 HTTP/HTTPS 请求和响应。这有助于分析和修改应用程序的通信,发现潜在的安全漏洞或对通信进行定制。
涵盖多个通用漏洞, 如 SQL 注入和跨站脚本 (XSS),在 OWASP 前 10 名中的所有漏洞都有出色的表现。
尖端 Web 应用程序搜索器 精确地映射内容和功能,自动处理会话、状态更改、易失性内容和应用程序登录。
JavaScript 分析引擎 结合静态 (SAST) 和动态 (DAST) 技术,用于检测客户端 JavaScript(例如基于 DOM 的跨站脚本)中的安全漏洞。
高度创新的带外技术 (OAST) 用于增强传统的扫描模型,让 Burp 可以检测在应用程序外部行为中完全不可见的服务器端漏洞,甚至报告在扫描完成后异步触发的漏洞。
Burp Infiltrator 技术 可用于检测目标应用程序,在其有效负载到达应用程序内的危险 API 时向 Burp Scanner 提供实时反馈,实现交互式应用程序安全测试 (IAST)。
持续更新的扫描逻辑 确保可以发现最新的漏洞和现有漏洞的新情况。
详细的自定义建议 包括问题的完整说明以及逐步的修复建议,可以根据具体情况调整。
实时保存和无缝接续的工作 使得你在任何时候都可以继续之前的操作。
配置库 可以使用不同的设置快速启动目标扫描。
中央仪表板上的实时反馈 为您提供所有发现漏洞的情况。
手动插入点 在请求中的任意位置通知扫描仪有关非标准输入和数据格式的信息。
实时扫描 在浏览过程中完全控制针对哪些请求执行的操作。
跨站脚本的反射和存储输入报告 方便手动测试。
格式精美的 HTML 报告导出功能 让你可以方便地分享结果。
CSRF PoC Generator 功能 可用于为给定请求生成概念验证跨站请求伪造 (CSRF) 攻击。
内容发现功能 用于发现隐藏的内容和未与可浏览的可见内容链接的功能。
目标分析器功能 用于分析目标 Web 应用程序,并告诉你它包含多少个静态和动态 URL,以及每个 URL 包含多少个参数。
Burp Intruder 是用于自动化针对应用程序的自定义攻击的高级工具。它可以用于多种目的,以提高手动测试的速度和准确性。
Burp Proxy 允许手动测试人员拦截浏览器和目标应用程序之间的所有请求和响应,即使使用 HTTPS 也不例外。
查看、编辑或删除单个消息,以操控应用程序的服务器端或客户端组件。
代理历史记录所有请求和响应通过代理的全部细节,方便回溯。
添加注释和彩色高亮标记 来标记有趣的项目,以便稍后进行手动跟进。
Burp Proxy 可以对响应执行各种自动修改,以方便测试。
创建匹配和替换规则,将自定义修改自动应用于通过代理传递的请求和响应。
解决 HTTPS 连接时可能出现的浏览器安全警告,使用 Burp 生成 CA 证书并在浏览器中安装。
支持非代理感知客户端的无形代理,可测试非标准用户代理,如胖客户端应用程序和某些移动应用程序。
HTML5 WebSockets 消息以与常规 HTTP 消息相同的方式被拦截并记录到单独的历史记录中,便于分析。
精细的拦截规则配置 可让您精准控制要拦截的消息,让您专注于最有趣的交互。
Target Sites Map 显示所有在网站上被发现和被测试的内容。内容以树形视图显示,与站点的 URL 结构相
标签:
加入本站QQ群获取更多实时游戏软件,线报,资源,福利点我加群
免责声明:
多特下载站仅为用户提供信息存储空间服务,所有资源均来源于网络或用户上传。我们无法对所有内容进行逐一审核,因此不保证资源的绝对准确性和完整性。用户在使用过程中应自行判断并承担相关风险。如涉及版权问题,请及时联系我们处理。对于因使用本站资源引发的一切争议、损失或法律责任,除法律明确规定外,多特下载站概不负责。请用户务必遵守法律法规,合理合法使用下载内容。侵删请致信E-mail: caozl@nbrjwl.com
