Burp Suite是一個易於使用的Web應用程序安全集成平臺。Burp包含多個無縫集成的工具,允許您測試現代Web應用程序的每個組件和方面。無論您是需要驗證身份驗證機制的可靠性,會話令牌的可預測性,還是應用程序中存在的輸入驗證檢查點,Burp都是安全從業者的瑞士軍刀。它不僅允許深入的手動評估,還結合了自動化技術來枚舉和分析Web應用程序資源。
Burp由PortSwigger Ltd.開發,分為兩個版本:
- 免費版
- 專業版
從本質上講,Burp是一個本地Web代理,允許攔截,檢查和修改用戶瀏覽器和目標網站之間的HTTP / S請求和響應。當用戶瀏覽Web應用程序時,該工具會獲取所有訪問過的頁面,腳本,參數和其他組件的詳細信息。瀏覽器和服務器之間的流量最終可以被可視化,分析,修改和重複多次。Burp Suite中包含的不同工具可以通過上面的標籤輕鬆區分:
- 目標:此工具允許聚合所有Web應用程序資源,從而在整個安全測試中指導用戶。
- 代理:它是該工具的核心組件,允許攔截和修改所有Web流量。
- Spider :一種自動爬蟲,可用於發現新的頁面和參數。
- 掃描程序:完整的Web應用程序安全掃描程序,僅提供專業版。
- 入侵者:Burp Intruder允許自定義和自動化Web請求。使用不同內容重複多次相同請求允許執行模糊測試。Web模糊測試通常包括向目標應用程序發送意外輸入。此過程可能有助於識別安全漏洞。
- Repeater :一種簡單但功能強大的工具,可用於手動修改和重新發出Web請求。
- Sequencer :Burp Sequencer是驗證安全令牌,cookie等的隨機性和可預測性的完美工具。
- 解碼器:它允許使用多種編碼方案(例如,URLencode)或公共散列函數(例如,MD5)對數據進行編碼和解碼
- Comparer :一種可視化差異工具,可用於檢測網頁之間的變化。
分享到:
閱讀更多 Lonelywhitehat 的文章
