产品 解决方案 研究 学会 Daily Swig

Burp Suite 专业版

功能

使用领先的web安全测试工具包武装自己。

免费试用 购买
Burp Suite Professional features

手动渗透测试功能

Burp Suite Pro proxy interception
Penetration testing

拦截浏览器看到的所有内容

强大的代理/历史记录使您可以修改通过浏览器的所有HTTP(S)通信。

Penetration testing

管理侦查数据

所有目标数据均已汇总并存储在目标站点地图中-具有过滤和注释功能。

Penetration testing

暴露隐藏的攻击面

使用用于“不可见”内容的高级自动发现功能查找隐藏目标功能

Penetration testing

测试点击劫持攻击

使用专业工具为潜在易受攻击的网页生成并确认点击劫持攻击。

Penetration testing

使用WebSockets

WebSockets消息具有自己的特定历史记录-允许您查看和修改它们。

Penetration testing

有效打破HTTPS

代理甚至可以保护HTTPS流量。 安装唯一的CA证书会删除相关的浏览器安全警告。

Penetration testing

手动测试带外漏洞

在手动测试期间,利用专用客户端来合并Burp Suite的带外(OAST)功能。

Penetration testing

加快精细的工作流程

修改并重新发出单个HTTP和WebSocket消息,并在单个窗口中分析响应。

Penetration testing

快速评估目标

确定目标应用程序的大小。 自动枚举静态和动态URL以及URL参数。

Penetration testing

访问标记强度

轻松测试旨在不可预测的数据项(例如令牌)中的随机性质量。

高级/自定义自动攻击

Automated attacks

更快的暴力破解和模糊测试

部署包含多个有效负载集的HTTP请求的自定义序列。 从根本上减少花费在许多任务上的时间。

Automated attacks

查询自动攻击结果

在自定义表中捕获自动结果,然后进行过滤和注释以查找有趣的条目/改善后续攻击。

Automated attacks

构建CSRF漏洞

轻松生成CSRF概念验证攻击。 选择任何合适的请求以生成漏洞利用HTML。

Automated attacks

促进更深入的手动测试

即使未确认错误,也请查看反映/存储的输入。 促进对诸如XSS之类的问题的测试。

Automated attacks

浏览时扫描

被动扫描您发出的每个请求或对特定URL执行主动扫描的选项。

Automated attacks

自动修改HTTP消息

设置以自动修改响应。 匹配和替换响应和请求的规则。

Burp Suite Pro Intruder payload positions

自动扫描漏洞

Burp Suite Pro scan results
Automated scanning

利用先进的AST技术

高信号:低噪声。 使用开拓性,无摩擦的带外应用程序安全性测试(OAST)进行扫描。

Automated scanning

征服客户端的攻击面

混合AST和内置的JavaScript分析引擎可帮助发现客户端攻击面中的漏洞。

Automated scanning

通过研究提高漏洞覆盖率

PortSwigger Research的前沿扫描逻辑结合了100多个通用错误的覆盖范围。

Automated scanning

微调扫描控制

通过用户驱动的扫描方法获得细粒度的控制。 或者,运行“点击”扫描。

Automated scanning

有效修复错误

PortSwigger Research提供了针对每个错误的自定义说明和逐步修复建议。

Automated scanning

配置扫描行为

自定义审核内容以及审核方式。 跳过特定的检查、微调插入点等。

Automated scanning

搜寻更复杂的目标。 Burp Suite的搜寻器会根据内容而不只是URL来识别位置。

Automated scanning

有效地应用IAST

借助可选的代码工具,简化了源标识和漏洞报告。

Automated scanning

体验浏览器驱动的扫描

浏览器驱动的扫描已经朝着更好地覆盖棘手的目标(如AJAX繁重的单页应用程序)迈进了一步。

生产力工具

Productivity tools

深入信息分析

在功能丰富的HTTP编辑器中显示跟踪、分析、参考、发现和修复。

Productivity tools

同时使用内置配置和自定义配置

访问用于常见任务的预定义配置,或保存和重复使用自定义配置。

Productivity tools

增加项目选项

自动将所有正在运行的项目保存到磁盘,并将配置添加到预先保存的项目。

Productivity tools

使代码更具可读性

自动打印精美的代码格式,包括JSON,JavaScript,CSS,HTML和XML。

Productivity tools

轻松修复扫描结果

有关聚合了应用程序数据的每个错误,请参见源、发现、内容和补救措施。

Productivity tools

简化扫描报告

使用HTML / XML格式自定义。 报告所有确定的证据,包括问题的详细信息。

Productivity tools

加快数据转换

使用多种内置操作(例如Hex,Octal,Base64)对数据进行解码或编码。

Burp Suite Pro pretty-printing

扩展

PortSwigger BApp Store
Extensions

创建自定义扩展

扩展器API确保通用的适应性。 编写自定义扩展代码,使Burp为您工作。

Extensions

Logger++

有关深度漏洞的详细信息(在易于访问的表中排序和排列),请使用Logger ++。

Extensions

授权

测试授权漏洞时,可以节省时间并通过授权执行重复请求。

Extensions

Turbo Intruder

Turbo Intruder使用Python配置并带有自定义HTTP堆栈,每秒可以释放数千个请求。

Extensions

J2EE Scan

使用J2EEScan扩展特定于Java的漏洞目录并查找最特殊的错误。

Extensions

Backslash Powered Scanner

使用Backslash Powered Scanner查找研究级的错误,并弥合人类的直觉和自动化。

Extensions

访问扩展库

BApp Store自定义和扩展功能。 由Burp用户编写和测试的250多个扩展。

Extensions

Upload Scanner

通过使用Upload Scanner上传和测试多个文件类型的有效负载来适应Burp Scanner的攻击。

Extensions

Retire.js

与Retire.js存储库集成,以使用软件组成分析(SCA)检查已知错误。

Extensions

AuthMatrix

运行带有Authorize的AuthMatrix,以定义访问级别的漏洞授权检查。

Extensions

Param Miner

使用Param Miner快速查找未键入的输入-每秒最多可以猜测65,000个参数名称。