Burp Suite Professional是一款被广泛认可的网络安全测试工具集,它由PortSwigger开发。该软件提供了强大的功能,用于帮助安全研究人员和渗透测试人员发现并评估网站的安全性问题。它集成了各种工具,包括用于映射和分析应用程序的爬虫、用于检测和利用安全漏洞的漏洞扫描程序。

burp-suite-professional

软件的设计初衷是使安全测试过程自动化,通过各种工具帮助用户节省时间并提高效率。Burp Suite Professional提供一套完整的测试仪表盘,利用其交互式界面,用户可以更深入地进行手动测试。拥有高级的拦截代理工具,允许用户查看和修改所有通过Burp Proxy流量的HTTP/HTTPS通信,对于深入的渗透测试和漏洞探测工作而言,这是一个必不可少的功能。

另外,Burp Suite Professional还包括一个巨大的扩展库,通过它,用户能够加载和运行社区开发者编写的扩展,以增加和定制功能。无论是需要检测信息泄露、会话管理问题还是跨站脚本攻击,Burp Suite Professional都被看作是行业内不可或缺的工具之一。使用这款工具,安全研究人员可以更有效地发现潜在风险并采取措施降低安全威胁。

拦截浏览器看到的所有内容
BurpSuite的内置浏览器开箱即用-使您能够修改通过它的每条HTTP消息。

快速评估您的目标
确定目标应用程序的大小。自动枚举静态和动态URL以及URL参数。

加快精细工作流程
在单个窗口内修改并重新发出单独的HTTP和WebSocket消息,并分析响应。

管理侦察数据
所有目标数据都被聚合并存储在目标站点地图中-具有过滤和注释功能。

暴露隐藏的攻击面
通过“不可见”内容的高级自动发现功能查找隐藏目标功能。

有效破解HTTPS
使用BurpSuite的内置检测浏览器代理甚至安全的HTTPS流量。

使用HTTP/2
BurpSuite为基于HTTP/2的测试提供无与伦比的支持-使您能够以其他工具无法做到的方式处理HTTP/2请求。

使用WebSocket
WebSockets消息有自己特定的历史记录-允许您查看和修改它们。

手动测试带外漏洞
在手动测试期间使用专用客户端合并BurpSuite的带外(OAST)功能。

DOM入侵者
使用BurpSuite的内置浏览器通过DOMInvader更轻松地测试DOMXSS漏洞。

评估代币强度
轻松测试不可预测的数据项(例如令牌)的随机性质量。

更快的暴力破解和模糊测试
部署包含多个负载集的HTTP请求的自定义序列。大大减少许多任务所花费的时间。

查询自动化攻击结果
在自定义表格中捕获自动结果,然后进行过滤和注释以查找有趣的条目/改进后续攻击。

构建CSRF漏洞
轻松生成CSRF概念验证攻击。选择任何合适的请求来生成利用HTML。

促进更深入的手动测试
即使错误未得到确认,也可查看反映/存储的输入。促进XSS等问题的测试。

浏览时扫描
可以选择被动扫描您发出的每个请求,或对特定URL执行主动扫描。

自动修改HTTP消息
自动修改响应的设置。响应和请求的匹配和替换规则。

浏览器支持扫描
BurpScanner使用其嵌入式浏览器来呈现其目标-使其能够导航甚至复杂的单页应用程序(SPA)。

利用开创性的OAST技术
高信号:低噪音。通过开创性、无摩擦、带外应用程序安全测试(OAST)进行扫描。

有效修复错误
来自PortSwiggerResearch和WebSecurityAcademy的针对每个错误的自定义描述和分步修复建议。

通过研究推动漏洞覆盖
PortSwiggerResearch的尖端扫描逻辑与100多个通用错误的覆盖范围相结合。

B支票
为BurpScanner创建自定义扫描检查,以简单的基于文本的语言编写。

API扫描
发现更多潜在的攻击面。BurpScanner解析JSON或YAMLAPI定义-扫描它找到的任何API端点。

认证扫描
扫描目标应用程序的特权区域,即使它们使用单​​点登录(SSO)等复杂的登录机制。

征服客户端攻击面
内置的JavaScript分析引擎有助于发现客户端攻击面中的漏洞。

配置扫描行为
定制您审核的内容以及方式。跳过特定检查、微调插入点等等。或者使用预设的扫描模式来获得概览。

深入的消息分析
在功能丰富的HTTP编辑器中显示后续、分析、参考、发现和修复。

使用内置和自定义配置
访问常见任务的预定义配置,或保存并重复使用自定义配置。

项目文件
自动保存您在参与时所做的一切以及您使用的配置设置。

打嗝记录器
使用BurpLogger查看通过BurpSuite工具的每一条HTTP消息-全部集中在一个地方。

加速数据转换
使用多个内置操作(例如十六进制、八进制、Base64)对数据进行解码或编码。

打嗝整理器
存储并注释您在测试时发现的有趣消息,以便您稍后可以返回查看它们。

让代码更具可读性
自动漂亮打印代码格式,包括JSON、JavaScript、CSS、HTML和XML。

轻松修复扫描结果
使用聚合的应用程序数据查看每个错误的来源、发现、内容和修复。

搜索功能
BurpSuiteProfessional具有强大的搜索功能,可立即搜索各处。

简化扫描报告
使用HTML/XML格式进行自定义。报告所有已发现的证据,包括问题详细信息。

创建自定义扩展
MontoyaAPI确保通用适应性。编写自定义扩展以使Burp为您服务。

黑客入侵者
使用Hackvertor在各种编码之间进行转换。使用多个嵌套标签来执行分层编码。甚至可以使用自定义标签执行您自己的代码-等等。

自动化
测试授权漏洞时,可以使用Autorize节省时间并执行重复请求。

涡轮入侵者
TurboIntruder采用Python配置,具有自定义HTTP堆栈,每秒可以释放数千个请求。

J2EE扫描
使用J2EEScan扩展您的Java特定漏洞目录并寻找最小众的错误。

访问扩展库
BAppStore可以定制和扩展功能。超过250个扩展,由Burp用户编写和测试。

上传扫描仪
通过使用UploadScanner上传和测试多个文件类型有效负载来适应BurpScanner的攻击。

HTTP请求走私者
扫描请求走私漏洞-并通过HTTPRequestSmuggler自动为您调整偏移量来更轻松地利用它们。

参数矿工
使用ParamMiner快速查找未加密的输入-每秒可以猜测多达65,000个参数名称。

反斜杠供电扫描仪
使用BackslashPoweredScanner查找研究级错误,并连接人类直觉和自动化。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。