Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,SequenCEr,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。
Burp Suite是一个可靠实用的平台,可为您提供执行Web应用程序安全性测试的简单方法。它提供了完全的控制权,使您可以将高级手动技术与各种工具无缝地结合在一起,以支持整个测试过程。该实用程序易于使用且直观,不需要您执行高级操作即可分析,扫描和利用Web应用程序。它是高度可配置的,并具有有用的功能来协助经验丰富的测试人员进行工作。
主窗口显示了您可以选择的所有可用工具,并以所需方式设置每个人的设置。
设计为与浏览器一起使用时,该应用程序用作HTTP代理,因此来自浏览器的所有HTTP / s通信都通过该实用程序。这样,如果您想执行任何类型的测试,则需要配置浏览器以使用它。
您需要做的第一件事是确认该应用程序的代理侦听器处于活动状态。只需导航到“代理”选项卡,然后在“代理侦听器”部分中进行查看。您应该在表中看到一个条目,其中勾选了正在运行复选框。您需要做的第二件事是将浏览器配置为使用应用程序的代理侦听器作为其HTTP代理服务器。最后,您需要将浏览器配置为能够通过应用发送HTTP请求而不会出现问题。
前面提到的实用程序使您可以完全控制要执行的所有操作,并获得有关要测试的Web应用程序的详细信息和分析。使用入侵者,中继器,音序器和比较器等工具,您可以轻松地执行不同的操作。
在Spider的帮助下,您可以对应用程序进行爬网以找到其内容和功能。您可以通过选择协议并指定主机名或IP范围来添加新范围。然后,该实用程序监视所有传输的字节和排队的请求。
入侵者工具使您可以对Web应用程序进行攻击。只需设置主机名和端口号,定义一个或多个有效负载集即可。您还可以通过在“目标”选项卡中选中适当的框来使用HTTP协议。
自动化测试任务的另一种工具称为Sequencer,它分析应用程序会话令牌中的随机性质量。首先,您需要加载至少100个令牌,然后捕获所有请求。
总体而言,Burp Suite Free Edition可让您以一种明智的方式实现所需的一切。它可以帮助您在浏览Web应用程序时记录,分析或重放Web请求。
专业版特点
-打嗝代理
-打嗝蜘蛛
-打嗝直放站
-打嗝序
-打嗝解码器
-打嗝的Comparer
-打嗝入侵者
-打嗝扫描仪
-保存和恢复
-搜索
-目标分析器
-内容发现
-任务计划
-发行计划