Burp suite

用於測試網頁應用程序安全性的圖形工具

BurpBurp Suite(飽嗝套裝)是一個用於測試網絡應用程式安全性的圖形化工具。該工具使用Java編寫,由PortSwigger Web Security開發。

該工具有三個版本。可以免費下載的社區版、專業版和試用後可以購買的企業版。社區版大大減少了功能。它是為網絡應用程式安全檢查提供全面解決方案而開發的。除了代理伺服器ScannerIntruder等基本功能外,該工具還包含更高級的選項,如SpiderRepeaterDecoderComparerExtenderSequencer

Burp suite背後的公司還開發了一個行動應用程式,其中包含與iOS8及更高版本兼容的類似工具。

PortSwigger由網絡安全領域的領先專家Dafydd Stuttard於2004年創建。[1]

工具

  • HTTP代理 — 它作為一個 Web 代理伺服器運行,並且位於瀏覽器和目標 Web 伺服器之間。這允許攔截、檢查和修改在兩個方向上通過的原始流量。
  • Scanner — 一個 Web 應用程式安全掃描器,用於執行 Web 應用程式的自動漏洞掃描。
  • Intruder — 此工具可以對 Web 應用程式執行自動攻擊。該工具提供了一種可配置的算法,可以生成惡意 HTTP 請求。Intruder 工具可以測試和檢測 SQL 注入跨站腳本、參數篡改和易受蠻力攻擊的漏洞。
  • Spider — 一個自動抓取 Web 應用程式的工具。它可以與手工映射技術一起使用,以加快映射應用程式內容和功能的過程。
  • Repeater — 一個可以用來手動測試應用程式的簡單工具。它可以用於修改對伺服器的請求,重新發送它們並觀察結果。
  • Decoder — 一種將已編碼的數據轉換為其規範形式,或將原始數據轉換為各種編碼和散列形式的工具。它能夠利用啟發式技術智能識別多種編碼格式。
  • Comparer — 在任意兩個數據項之間執行比較(一個可視化的「差異」)的工具。
  • Extender — 允許安全測試人員加載 Burp 擴展,使用安全測試人員自己的或第三方代碼(BAppStore頁面存檔備份,存於網際網路檔案館))擴展 Burp 的功能
  • Sequencer — 一種分析數據項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的數據項,如反 CSRF 令牌、密碼重置令牌等。

另請參閱

參考文獻

  1. ^ PortSwigger Web Security. About PortSwigger Web Security. portswigger.net. PortSwigger Web Security. [2019-01-07]. (原始內容存檔於2018-11-24). 

外部連結