BurpSuite Pro官方版，全稱為：burpsuite professional，這是一款非常實用且功能強(qiáng)大的安全防護(hù)軟件，簡潔明了的操作界面絲毫不會影響到軟件的強(qiáng)大之處，軟件功能非常全面，現(xiàn)階段可以幫助用戶們實時去了解并掌握到自己電腦中的網(wǎng)絡(luò)信息安全，而且還可以檢測而不在攻擊，并且還為各位用戶提供的Target目標(biāo)、Proxy代理、Spider蜘蛛、Scanner掃描、Intruder入侵、Repeater中繼器、Sequencer定序器、Decoder解碼器以及Comparer比較器等模塊，能夠從多方位幫助用戶分析網(wǎng)頁安全，它是通過了最先進(jìn)的掃描技術(shù)，從而可以讓用戶查看到最新的漏洞，甚至還可以不斷提高安全測試的能力，能夠很好的滿足用戶的web掃描需求，致力于帶給你專業(yè)、高效、強(qiáng)大的使用體驗。

此外，軟件還可以通過單獨(dú)的應(yīng)用程序來測試每個項目，其中最值得注意的就是基本上所有的測試都是自動完成的哦，動化的流程來尋找出各種的漏洞，并且還能夠滿足用戶多種不同的測試方式，幫助各位用戶能夠有個更加方便快捷的測試方式，這樣用戶就可以快速獲取最完全的信息和結(jié)果，從而就可以幫助用戶節(jié)省下更多的時間。除此之外：burpsuite還可以通過攔截HTTP / HTTPS的網(wǎng)絡(luò)數(shù)據(jù)包，重組瀏覽器和相關(guān)應(yīng)用程序的中間人，進(jìn)行攔截，修改，重新數(shù)據(jù)包進(jìn)行測試。

軟件功能

1、Target(目標(biāo))——顯示目標(biāo)目錄結(jié)構(gòu)的的一個功能。

2、Proxy(代理)——攔截HTTP/S的代理服務(wù)器，作為一個在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數(shù)據(jù)流。

3、Spider(蜘蛛)——應(yīng)用智能感應(yīng)的網(wǎng)絡(luò)爬蟲，它能完整的枚舉應(yīng)用程序的內(nèi)容和功能。

4、Scanner(掃描器)——高級工具，執(zhí)行后，它能自動地發(fā)現(xiàn)web 應(yīng)用程序的安全漏洞。

5、Intruder(入侵)——一個定制的高度可配置的工具，對web應(yīng)用程序進(jìn)行自動化攻擊，如：枚舉標(biāo)識符，收集有用的數(shù)據(jù)，以及使用fuzzing 技術(shù)探測常規(guī)漏洞。

6、Repeater(中繼器)——一個靠手動操作來觸發(fā)單獨(dú)的HTTP 請求，并分析應(yīng)用程序響應(yīng)的工具。

7、Sequencer(會話)——用來分析那些不可預(yù)知的應(yīng)用程序會話令牌和重要數(shù)據(jù)項的隨機(jī)性的工具。

8、Decoder(解碼器)——進(jìn)行手動執(zhí)行或?qū)?yīng)用程序數(shù)據(jù)者智能解碼編碼的工具。

9、Comparer(對比)——通常是通過一些相關(guān)的請求和響應(yīng)得到兩項數(shù)據(jù)的一個可視化的“差異”。

10、Extender(擴(kuò)展)——可以讓你加載Burp Suite的擴(kuò)展，使用你自己的或第三方代碼來擴(kuò)展Burp Suit的功能。

11、Options(設(shè)置)——對Burp Suite的一些設(shè)置。

burpsuite軟件特色

一、Web漏洞掃描程序

1、涵蓋了100多個通用漏洞，例如SQL注入和跨站點腳本（XSS），在OWASP前10名中的所有漏洞中均具有出色的性能。

2、Burp的尖端 Web應(yīng)用程序搜尋器 準(zhǔn)確地映射內(nèi)容和功能，自動處理會話，狀態(tài)更改，易失性內(nèi)容和應(yīng)用程序登錄。

3、Burp Scanner包括一個完整的 JavaScript分析 引擎，該引擎結(jié)合了靜態(tài)（SAST）和動態(tài)（DAST）技術(shù)，用于檢測客戶端JavaScript（例如基于DOM的跨站點腳本）中的安全漏洞。

4、Burp率先使用高度創(chuàng)新 的帶外技術(shù)（OAST） 來增強(qiáng)傳統(tǒng)的掃描模型。Burp Collaborator技術(shù)使Burp可以檢測在應(yīng)用程序外部行為中完全不可見的服務(wù)器端漏洞，甚至報告在掃描完成后異步觸發(fā)的漏洞。

5、Burp Infiltrator技術(shù)可用于檢測目標(biāo)應(yīng)用程序，以在其有效負(fù)載到達(dá)應(yīng)用程序內(nèi)的危險API時向Burp Scanner提供實時反饋，從而執(zhí)行交互式應(yīng)用程序安全測試（IAST）。

6、Burp的掃描邏輯會不斷進(jìn)行改進(jìn)，以確保能夠找到最新的漏洞和現(xiàn)有漏洞的新情況。近年來，Burp成為第一臺檢測Burp研究團(tuán)隊首創(chuàng)的新型漏洞的掃描儀，包括模板注入和Web緩存中毒。

7、所有報告的漏洞均包含詳細(xì)的自定義建議。這些內(nèi)容包括問題的完整說明以及逐步的修復(fù)建議。會針對每個問題動態(tài)生成建議性措詞，并準(zhǔn)確描述任何特殊功能或補(bǔ)救點。

二、先進(jìn)的手動工具

1、使用Burp項目文件實時增量保存您的工作，并從上次中斷的地方無縫接聽。

2、使用配置庫可以使用不同的設(shè)置快速啟動目標(biāo)掃描。

3、在Burp的中央儀表板上查看所有發(fā)現(xiàn)的漏洞的實時反饋。

4、將手動插入點放置 在請求中的任意位置，以通知掃描儀有關(guān)非標(biāo)準(zhǔn)輸入和數(shù)據(jù)格式的信息。

5、瀏覽時 使用 實時掃描， 以完全控制針對哪些請求執(zhí)行的操作。

6、Burp可以選擇報告所有反映和存儲的輸入，即使尚未確認(rèn)漏洞，也可以方便手動測試跨站點腳本之類的問題。

7、您可以導(dǎo)出發(fā)現(xiàn)的漏洞的格式精美的HTML報告。

8、CSRF PoC Generator函數(shù)可用于為給定請求生成概念驗證跨站點請求偽造（CSRF）攻擊。

9、內(nèi)容發(fā)現(xiàn)功能可用于發(fā)現(xiàn)隱藏的內(nèi)容和未與可瀏覽的可見內(nèi)容鏈接的功能。

10、目標(biāo)分析器功能可用于分析目標(biāo)Web應(yīng)用程序，并告訴您它包含多少個靜態(tài)和動態(tài)URL，以及每個URL包含多少個參數(shù)。

11、Burp Intruder是用于自動化針對應(yīng)用程序的自定義攻擊的高級工具。它可以用于多種目的，以提高手動測試的速度和準(zhǔn)確性。

12、入侵者捕獲詳細(xì)的攻擊結(jié)果，并以表格形式清晰地顯示有關(guān)每個請求和響應(yīng)的所有相關(guān)信息。捕獲的數(shù)據(jù)包括有效載荷值和位置，HTTP狀態(tài)代碼，響應(yīng)計時器，cookie，重定向數(shù)以及任何已配置的grep或數(shù)據(jù)提取設(shè)置的結(jié)果。

三、基本手動工具

1、Burp Proxy允許手動測試人員攔截瀏覽器和目標(biāo)應(yīng)用程序之間的所有請求和響應(yīng)，即使使用HTTPS時也是如此。

2、您可以查看，編輯或刪除單個消息，以操縱應(yīng)用程序的服務(wù)器端或客戶端組件。

3、該代理歷史記錄所有請求和響應(yīng)通過代理的全部細(xì)節(jié)。

4、您可以用注釋和彩色突出顯示來注釋單個項目，以便標(biāo)記有趣的項目，以便以后進(jìn)行手動后續(xù)操作。

5、Burp Proxy可以對響應(yīng)執(zhí)行各種自動修改，以方便測試。例如，您可以取消隱藏隱藏的表單字段，啟用禁用的表單字段并刪除JavaScript表單驗證。

6、您可以使用匹配和替換規(guī)則，將自定義修改自動應(yīng)用于通過代理傳遞的請求和響應(yīng)。您可以創(chuàng)建對消息標(biāo)題和正文，請求參數(shù)或URL文件路徑進(jìn)行操作的規(guī)則。

7、Burp有助于消除攔截HTTPS連接時可能發(fā)生的瀏覽器安全警告。安裝時，Burp會生成一個唯一的CA證書，您可以將其安裝在瀏覽器中。然后，為您訪問的每個域生成主機(jī)證書，并由受信任的CA證書簽名。

8、Burp支持對非代理感知客戶端的無形代理，從而可以測試非標(biāo)準(zhǔn)用戶代理，例如胖客戶端應(yīng)用程序和某些移動應(yīng)用程序。

9、HTML5 WebSockets消息以與常規(guī)HTTP消息相同的方式被攔截并記錄到單獨(dú)的歷史記錄中。

10、您可以配置細(xì)粒度的攔截規(guī)則，以精確控制要攔截的消息，從而使您可以專注于最有趣的交互。

11、該目標(biāo)站點地圖顯示所有已在網(wǎng)站被發(fā)現(xiàn)被測試的內(nèi)容。內(nèi)容以樹形視圖顯示，該視圖與站點的URL結(jié)構(gòu)相對應(yīng)。在樹中選擇分支或節(jié)點將顯示單個項目的列表，并在需要時提供完整的詳細(xì)信息，包括請求和響應(yīng)。

12、所有請求和響應(yīng)都顯示在功能豐富的HTTP消息編輯器中。這提供了對基礎(chǔ)消息的大量視圖，以幫助分析和修改其內(nèi)容。

13、可以在Burp工具之間輕松發(fā)送單獨(dú)的請求和響應(yīng)，以支持各種手動測試工作流程。

14、使用Repeater工具，您可以手動編輯和重新發(fā)出單個請求，以及完整的請求和響應(yīng)歷史記錄。

15、Sequencer工具用于使用標(biāo)準(zhǔn)密碼測試的隨機(jī)性對會話令牌進(jìn)行統(tǒng)計分析

16、解碼器工具使您可以在現(xiàn)代網(wǎng)絡(luò)上使用的常見編碼方案和格式之間轉(zhuǎn)換數(shù)據(jù)。

17、Clickbandit工具針對易受攻擊的應(yīng)用程序功能生成有效的Clickjacking攻擊。

18、比較器工具在成對的請求和響應(yīng)或其他有趣的數(shù)據(jù)之間執(zhí)行視覺區(qū)別。

19、您可以創(chuàng)建自定義會話處理規(guī)則來處理特定情況。會話處理規(guī)則可以自動登錄，檢測和恢復(fù)無效的會話以及獲取有效的CSRF令牌。

20、強(qiáng)大的Burp Extender API允許擴(kuò)展自定義Burp的行為并與其他工具集成。Burp擴(kuò)展的常見用例包括即時修改HTTP請求和響應(yīng)，自定義Burp UI，添加自定義掃描程序檢查以及訪問關(guān)鍵的運(yùn)行時信息，包括爬網(wǎng)和掃描結(jié)果。

21、該BAPP商店是貢獻(xiàn)的爆發(fā)式的用戶社區(qū)隨時可以使用擴(kuò)展的存儲庫。只需在Burp UI中單擊即可安裝這些工具。

軟件亮點

1、自動收獲低垂的水果

Web漏洞掃描程序是Burp Suite Professional的核心。這是世界上許多最大的組織信任的掃描儀。

該掃描儀涵蓋整個OWASP Top 10，并且能夠進(jìn)行被動和主動分析。當(dāng)然，開發(fā)工作由PortSwigger的世界領(lǐng)先研究團(tuán)隊負(fù)責(zé)。

2、通過人工指導(dǎo)的自動化節(jié)省更多時間

使用純自動化工具無法找到每個Web安全漏洞。許多需要某種形式的人工輸入。但是，利用這些漏洞通常可能是一件令人厭煩的任務(wù)。

Burp Intruder等強(qiáng)大的省力工具可讓您更好地利用自己的時間。當(dāng)對漏洞進(jìn)行模糊處理或使用其他蠻力技術(shù)時，尤其如此。

3、瑞士黑客專用刀

很容易看出Burp Suite Pro為何起作用。這是一個真正的一站式解決方案，可快速，可靠地發(fā)現(xiàn)和利用Web應(yīng)用程序中的漏洞。

但這還不止于此。通過BApp Store，您可以訪問數(shù)百個社區(qū)生成的插件。Burp Suite的Extender API允許您編寫自己的。通過以這種方式增強(qiáng)Burp Suite Pro的功能，其應(yīng)用幾乎變得無限。

4、業(yè)界最受歡迎的工具

Burp Suite Professional在130多個國家/地區(qū)擁有40,000多名用戶。這使其成為用于Web安全測試的世界上使用最廣泛的工具箱。

這不是偶然發(fā)生的。我們的工具眾所周知是用戶知識的倍增器。

當(dāng)然，我們會這樣說。但是，請看一下我們的憑據(jù)。我們的軟件可以保護(hù)許多世界上最強(qiáng)大的組織：

5、其他人跟隨

Burp最初由我們的創(chuàng)始人Dafydd Stuttard撰寫。您可能會從The Web Application Hacker's Handbook（關(guān)于Web安全的事實上的標(biāo)準(zhǔn)教科書）中知道Daf的名字。Daf仍然領(lǐng)導(dǎo)我們的開發(fā)團(tuán)隊。

沒有研究，您將無法擁有最先進(jìn)的工具- 我們的團(tuán)隊是首屈一指的。PortSwigger致力于教育，您將在全球各地的會議上找到我們。

burpsuite如何使用

1、首先需要安裝一個java環(huán)境。

2、然后需要下載好一個burpsuite的軟件，如果是jar包就用java -jar 打開就可以了。

3、如果要使用代理的話，可以使用火狐插件FoxyProxy設(shè)置。

4、Burp Suite 也要對應(yīng)設(shè)置好。

5、先點擊這里就可以對訪問的流量進(jìn)行一個攔截。

6、瀏覽器對網(wǎng)址進(jìn)行訪問，即可成功截取請求信息。

burpsuite常見問題

1、什么是網(wǎng)站漏洞掃描？

網(wǎng)站漏洞掃描是發(fā)現(xiàn)網(wǎng)站安全漏洞的最快方法。防御者可以定期運(yùn)行自動掃描-允許他們修復(fù)出現(xiàn)的問題?？紤]到網(wǎng)絡(luò)安全的快速發(fā)展，這一點很重要。如果沒有漏洞掃描，則很難保持和保持合規(guī)性/避免數(shù)據(jù)泄露。

為此，防御者使用一種稱為Web漏洞掃描程序的軟件。漏洞掃描程序比手動測試有效得多，并且最好的工具可以標(biāo)記除最奇特的bug外的所有bug。軟件的核心的漏洞掃描器就是這樣一種工具。

2、為什么需要漏洞掃描器？

數(shù)據(jù)保護(hù)法規(guī)正在增加。數(shù)據(jù)泄露的潛在后果比以往任何時候都要糟。但是，缺乏安全意識意味著網(wǎng)站通常建有漏洞-使其面臨遭受網(wǎng)絡(luò)攻擊的風(fēng)險。通過使用軟件之類的軟件進(jìn)行漏洞測試，您可以大大降低風(fēng)險。

甚至專家滲透測試人員都可以從使用漏洞掃描程序中受益。人們根本無法像計算機(jī)那樣快速，詳細(xì)地檢查網(wǎng)站。并且使用掃描儀將在短期內(nèi)概述站點的安全性。這使戊二酸酯可以自由地使用他們的技能來探測深奧的缺陷。

3、Burp Web漏洞掃描程序可以做什么？

我們的掃描儀可以使用被動和主動兩種方法來測試站點的安全性。這些方法中更具攻擊性的-主動掃描-實際上將模擬攻擊以發(fā)現(xiàn)漏洞。軟件允許您根據(jù)自己的需要量身定制掃描-無論您需要快速，簡單的方法還是更深入的安全性視圖。

Burp Scanner可以檢測到一系列常見錯誤，包括跨站點腳本（XSS）和SQL注入。但這遠(yuǎn)不止于此-檢測大量其他漏洞。HTTP請求走私是最近的一個例子，并大量建立在PortSwigger的研究基礎(chǔ)上。

4、如何選擇漏洞掃描軟件？

由于Web漏洞掃描程序有許多用途，因此它們往往以不同的方式打包。例如，PortSwigger同時生產(chǎn)本軟件和Enterprise Edition。兩者都包含Burp Web漏洞掃描程序，但是它們是非常不同的軟件。

軟件是面向漏洞賞金獵人和滲透測試人員的高級工具包。軟件企業(yè)版是適用于組織和開發(fā)團(tuán)隊的可擴(kuò)展的自動掃描儀。如您所見，各種各樣的組織選擇Burp來提供保護(hù)。