Burp suite
外观
Burp或Burp Suite(饱嗝套装)是一个用于测试网络应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。
该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器、Scanner和Intruder等基本功能外,该工具还包含更高级的选项,如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。
Burp suite背后的公司还开发了一个移动应用程序,其中包含与iOS8及更高版本兼容的类似工具。
PortSwigger由网络安全领域的领先专家Dafydd Stuttard于2004年创建。[1]
工具
[编辑]- HTTP代理 — 它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量。
- Scanner — 一个 Web 应用程序安全扫描器,用于执行 Web 应用程序的自动漏洞扫描。
- Intruder — 此工具可以对 Web 应用程序执行自动攻击。该工具提供了一种可配置的算法,可以生成恶意 HTTP 请求。Intruder 工具可以测试和检测 SQL 注入、跨站脚本、参数篡改和易受蛮力攻击的漏洞。
- Spider — 一个自动抓取 Web 应用程序的工具。它可以与手工映射技术一起使用,以加快映射应用程序内容和功能的过程。
- Repeater — 一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求,重新发送它们并观察结果。
- Decoder — 一种将已编码的数据转换为其规范形式,或将原始数据转换为各种编码和散列形式的工具。它能够利用启发式技术智能识别多种编码格式。
- Comparer — 在任意两个数据项之间执行比较(一个可视化的“差异”)的工具。
- Extender — 允许安全测试人员加载 Burp 扩展,使用安全测试人员自己的或第三方代码(BAppStore(页面存档备份,存于互联网档案馆))扩展 Burp 的功能
- Sequencer — 一种分析数据项样本随机性的工具。它可以用于测试应用程序的会话令牌或其他重要的数据项,如反 CSRF 令牌、密码重置令牌等。
另请参阅
[编辑]参考文献
[编辑]- ^ PortSwigger Web Security. About PortSwigger Web Security. portswigger.net. PortSwigger Web Security. [2019-01-07]. (原始内容存档于2018-11-24).