打击网络犯罪的全球领导者
每个新版本的Burp Suite都有一个共同的祖先。 贯穿我们家谱的DNA代表了数十年来的卓越研究。 正如行业一次又一次表明的那样,Burp Suite是您可以信任的在线安全工具。
Web漏洞扫描器
-
涵盖了100多个通用漏洞,例如SQL注入和跨站点脚本(XSS),在OWASP前10名中的所有漏洞中均具有出色的性能。
- Burp的尖端web应用程序搜寻器可准确映射内容和功能,自动处理会话,状态更改,易失性内容和应用程序登录。
- Burp Scanner包括一个完整的JavaScript分析引擎,该引擎结合了静态(SAST)和动态(DAST)技术,用于检测客户端JavaScript(例如基于DOM的跨站点脚本)中的安全漏洞。
-
Burp率先使用高度创新的带外技术(OAST)来增强传统的扫描模型。 Burp Collaborator技术使Burp可以检测在应用程序外部行为中完全不可见的服务器端漏洞,甚至报告在扫描完成后异步触发的漏洞。
- Burp Infiltrator技术可用于检测目标应用程序,以在其有效负载到达应用程序中的危险API时向Burp Scanner提供实时反馈,从而执行交互式应用程序安全测试(IAST)。
- Burp的扫描逻辑会不断进行改进,以确保能够找到最新的漏洞和现有漏洞的新情况。 近年来,Burp成为第一台检测Burp研究团队首创的新型漏洞的扫描仪,包括模板注入和Web缓存中毒。
- 所有报告的漏洞均包含详细的自定义建议。 这些内容包括问题的完整说明以及逐步的修复建议。 会针对每个问题动态生成建议性措词,并准确描述任何特殊功能或补救点。
计划和重复扫描
- Burp Suite企业版可以在特定时间执行计划的扫描,或按需执行一次性扫描。
- 您可以将重复扫描配置为无限期运行或直到定义的终点运行。
- 您可以在一个地方查看给定网站的整个扫描历史记录。
无限的扩展性
- Burp Suite企业版具有极高的扩展性,并且可以无限期地并行扫描许多网站。
- 您可以在一个地方配置组织的所有网站,以反映您的组织结构。
- 所有扫描结果都汇总在一个地方,可一目了然地查看组织的安全状况
- 可扩展的代理程序池将工作负载分布在多台计算机上,使您的部署可以扩展到任何规模,并可以根据组织的需要执行任意数量的并行扫描。
- Burp Suite企业版通过基于角色的访问控制(RBAC)支持多个用户,以限制对敏感数据的访问。 用户数量没有许可限制。
CI integration
- 使用Burp的CI集成在开发生命周期中推进安全自动化。
- 通过REST API从CI系统自动启动漏洞扫描。
- 有针对流行平台(例如Jenkins和TeamCity)的现成本机CI插件,以及可以轻松安装在任何CI系统中的通用CI驱动程序。
- 您可以按计划或作为部署流水线的一部分对每个提交运行扫描。
- 可以将CI集成配置为根据发现问题的严重性来破坏软件构建。
先进的手动工具
- 使用Burp项目文件来实时增量保存您的工作,并无缝地继续您的工作。
- 使用配置库可以使用不同的设置快速启动目标扫描。
- 在Burp的中央仪表板上查看所有发现的漏洞的实时反馈。
- 将手动插入点放置在请求中的任意位置,以通知扫描仪有关非标准输入和数据格式的信息。
- 浏览时使用实时扫描,以完全控制针对哪些请求执行的操作。
- Burp可以选择报告所有反映和存储的输入,即使尚未确认漏洞,也可以方便手动测试跨站点脚本之类的问题。
- 您可以导出发现的漏洞的格式精美的HTML报告。
- CSRF PoC生成器功能可用于为给定请求生成概念验证跨站点请求伪造(CSRF)攻击。
- 内容发现功能可用于发现隐藏的内容和未与可浏览的可见内容链接的功能。
-
Target Analyzer函数可用于分析目标web应用程序,并告诉您它包含多少静态和动态URL,以及每个URL需要多少参数。
- Burp Intruder是用于自动化针对应用程序的自定义攻击的高级工具。 它可以用于多种目的,以提高手动测试的速度和准确性。
- 入侵者捕获详细的攻击结果,有关每个请求和响应的所有相关信息以表格形式清晰显示。 捕获的数据包括有效负载值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
基本手动工具
- Burp Proxy允许手动测试人员拦截浏览器和目标应用程序之间的所有请求和响应,即使使用HTTPS时也是如此。
- 您可以查看、编辑或删除单个消息,以操纵应用程序的服务器端或客户端组件。
- 代理历史记录记录了通过代理传递的所有请求和响应的完整详细信息。
- 您可以使用注释和彩色突出显示来注释单个项目,以便标记有趣的项目,以便以后进行手动后续操作。
- Burp Proxy可以对响应执行各种自动修改,以方便测试。 例如,您可以取消隐藏隐藏的表单字段,启用禁用的表单字段并删除JavaScript表单验证。
- 您可以使用匹配和替换规则将自定义修改自动应用于通过代理的请求和响应。 您可以创建对消息标题和正文,请求参数或URL文件路径进行操作的规则。
- Burp有助于消除拦截HTTPS连接时可能发生的浏览器安全警告。 安装时,Burp会生成一个唯一的CA证书,您可以将其安装在浏览器中。 然后,为您访问的每个域生成主机证书,并由受信任的CA证书签名。
- Burp支持对非代理感知客户端的无形代理,从而可以测试非标准用户代理,例如胖客户端应用程序和某些移动应用程序。
- HTML5 WebSockets消息以与常规HTTP消息相同的方式被拦截并记录到单独的历史记录中。
- 您可以配置细粒度的拦截规则,以精确控制要拦截的消息,让您专注于最有趣的交互。
- 目标站点地图显示了在测试站点中发现的所有内容。 内容以与网站URL结构相对应的树状视图显示。 选择树中的分支或节点将显示单个项目的列表,并在需要时提供完整的详细信息,包括请求和响应。
- 所有请求和响应都显示在功能丰富的HTTP消息编辑器中。 这提供了对基础消息的大量视图,以帮助分析和修改其内容。
- 可以在Burp工具之间轻松发送单独的请求和响应,以支持各种手动测试工作流程。
- 使用Repeater工具,您可以手动编辑和重新发出单个请求,以及完整的请求和响应历史记录。
-
Sequencer工具用于使用标准加密测试的随机性对会话令牌进行统计分析。
- 解码器工具使您可以在现代网络上使用的常见编码方案和格式之间转换数据。
- Clickbandit工具针对易受攻击的应用程序功能生成有效的点击劫持攻击。
- 比较器工具在成对的请求和响应或其他有趣的数据之间执行视觉区别。
- 您可以创建自定义会话处理规则来处理特定情况。 会话处理规则可以自动登录,检测和恢复无效的会话以及获取有效的CSRF令牌。
- 强大的Burp Extender API使扩展程序可以自定义Burp的行为并与其他工具集成。 Burp扩展的常见用例包括即时修改HTTP请求和响应,自定义Burp UI,添加自定义扫描程序检查以及访问关键的运行时信息,包括抓取和扫描结果。
- BApp Store是Burp用户社区提供的即用扩展库。 可以在Burp UI中单击一下即可安装这些工具。
常见问题
什么是Burp Suite?
Burp Suite是世界上使用最广泛的web应用程序安全测试软件。Burp有两个版本:
Burp Suite 专业版适用于动手测试人员,
Burp Suite 企业版具有可扩展的自动化和CI集成。
如何安装和使用Burp Suite?
如何安装Burp Suite CA证书?
通过Burp浏览HTTPS网站时,代理会生成由其自己的证书颁发机构(CA)签名的SSL证书。 要配置您的浏览器与Burp一起正常使用,请遵循我们在不同浏览器中安装Burp的CA证书的说明。