Burp suite

  注意：本條目主題可能尚無中文譯名，因而使用原文或其拉丁字母轉寫作為標題。如果您在可靠來源中找到本主題的中文名稱，請勇於將其移動至中文標題。（2021年3月）

Burp或Burp Suite（飽嗝套裝）是一個用於測試網絡應用程式安全性的圖形化工具。該工具使用Java編寫，由PortSwigger Web Security開發。

該工具有三個版本。可以免費下載的社區版、專業版和試用後可以購買的企業版。社區版大大減少了功能。它是為網絡應用程式安全檢查提供全面解決方案而開發的。除了代理伺服器、Scanner和Intruder等基本功能外，該工具還包含更高級的選項，如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。

Burp suite背後的公司還開發了一個流動應用程式，其中包含與iOS8及更高版本兼容的類似工具。

PortSwigger由網絡安全領域的領先專家Dafydd Stuttard於2004年創建。^[1]

工具[編輯]

• HTTP代理 — 它作為一個 Web 代理伺服器運行，並且位於瀏覽器和目標 Web 伺服器之間。這允許攔截、檢查和修改在兩個方向上通過的原始流量。
• Scanner — 一個 Web 應用程式安全掃描器，用於執行 Web 應用程式的自動漏洞掃描。
• Intruder — 此工具可以對 Web 應用程式執行自動攻擊。該工具提供了一種可配置的算法，可以生成惡意 HTTP 請求。Intruder 工具可以測試和檢測 SQL 注入、跨站腳本、參數篡改和易受蠻力攻擊的漏洞。
• Spider — 一個自動抓取 Web 應用程式的工具。它可以與手工映射技術一起使用，以加快映射應用程式內容和功能的過程。
• Repeater — 一個可以用來手動測試應用程式的簡單工具。它可以用於修改對伺服器的請求，重新發送它們並觀察結果。
• Decoder — 一種將已編碼的數據轉換為其規範形式，或將原始數據轉換為各種編碼和散列形式的工具。它能夠利用啟發式技術智能識別多種編碼格式。
• Comparer — 在任意兩個數據項之間執行比較（一個可視化的「差異」）的工具。
• Extender — 允許安全測試人員加載 Burp 擴展，使用安全測試人員自己的或第三方代碼（BAppStore（頁面存檔備份，存於互聯網檔案館））擴展 Burp 的功能
• Sequencer — 一種分析數據項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的數據項，如反 CSRF 令牌、密碼重置令牌等。

另請參閱[編輯]

• 滲透測試
• Web應用程式安全掃描器
• Fiddler（軟件）
• 代理伺服器
• OWASP ZAP（英語：OWASP ZAP）

參考文獻[編輯]

外部連結[編輯]

• 官方網站
• Burp Suite 支持中心（頁面存檔備份，存於互聯網檔案館）包含大量有關使用 Burp Suite 的文章和社區討論。
• Burp 測試方法（頁面存檔備份，存於互聯網檔案館）解釋了使用 Burp Suite 測試各種 Web 應用程式漏洞的方法。
• 知識庫（頁面存檔備份，存於互聯網檔案館）包含 Burp Scanner 可以檢測到的所有問題的定義。
• Burp Suite Essentials，作者 Akash Mahajan，由 PACKT 出版（頁面存檔備份，存於互聯網檔案館）
• Sec Tools（頁面存檔備份，存於互聯網檔案館）