Burp suite

用於測試網頁應用程序安全性的圖形工具

BurpBurp Suite(饱嗝套装)是一个用于测试网络应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。

该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器ScannerIntruder等基本功能外,该工具还包含更高级的选项,如SpiderRepeaterDecoderComparerExtenderSequencer

Burp suite背后的公司还开发了一个移动应用程序,其中包含与iOS8及更高版本兼容的类似工具。

PortSwigger由网络安全领域的领先专家Dafydd Stuttard于2004年创建。[1]

工具

  • HTTP代理 — 它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量。
  • Scanner — 一个 Web 应用程序安全扫描器,用于执行 Web 应用程序的自动漏洞扫描。
  • Intruder — 此工具可以对 Web 应用程序执行自动攻击。该工具提供了一种可配置的算法,可以生成恶意 HTTP 请求。Intruder 工具可以测试和检测 SQL 注入跨站脚本、参数篡改和易受蛮力攻击的漏洞。
  • Spider — 一个自动抓取 Web 应用程序的工具。它可以与手工映射技术一起使用,以加快映射应用程序内容和功能的过程。
  • Repeater — 一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求,重新发送它们并观察结果。
  • Decoder — 一种将已编码的数据转换为其规范形式,或将原始数据转换为各种编码和散列形式的工具。它能够利用启发式技术智能识别多种编码格式。
  • Comparer — 在任意两个数据项之间执行比较(一个可视化的“差异”)的工具。
  • Extender — 允许安全测试人员加载 Burp 扩展,使用安全测试人员自己的或第三方代码(BAppStore页面存档备份,存于互联网档案馆))扩展 Burp 的功能
  • Sequencer — 一种分析数据项样本随机性的工具。它可以用于测试应用程序的会话令牌或其他重要的数据项,如反 CSRF 令牌、密码重置令牌等。

另请参阅

参考文献

  1. ^ PortSwigger Web Security. About PortSwigger Web Security. portswigger.net. PortSwigger Web Security. [2019-01-07]. (原始内容存档于2018-11-24). 

外部链接