Burp suite

  注意：本条目主题可能尚无中文译名，因而使用原文或其拉丁字母转写作为标题。如果您在可靠来源中找到本主题的中文名称，请勇于将其移动至中文标题。（2021年3月）

Burp或Burp Suite（饱嗝套装）是一个用于测试网络应用程序安全性的图形化工具。该工具使用Java编写，由PortSwigger Web Security开发。

该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器、Scanner和Intruder等基本功能外，该工具还包含更高级的选项，如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。

Burp suite背后的公司还开发了一个移动应用程序，其中包含与iOS8及更高版本兼容的类似工具。

PortSwigger由网络安全领域的领先专家Dafydd Stuttard于2004年创建。^[1]

工具[编辑]

• HTTP代理 — 它作为一个 Web 代理服务器运行，并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量。
• Scanner — 一个 Web 应用程序安全扫描器，用于执行 Web 应用程序的自动漏洞扫描。
• Intruder — 此工具可以对 Web 应用程序执行自动攻击。该工具提供了一种可配置的算法，可以生成恶意 HTTP 请求。Intruder 工具可以测试和检测 SQL 注入、跨站脚本、参数篡改和易受蛮力攻击的漏洞。
• Spider — 一个自动抓取 Web 应用程序的工具。它可以与手工映射技术一起使用，以加快映射应用程序内容和功能的过程。
• Repeater — 一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求，重新发送它们并观察结果。
• Decoder — 一种将已编码的数据转换为其规范形式，或将原始数据转换为各种编码和散列形式的工具。它能够利用启发式技术智能识别多种编码格式。
• Comparer — 在任意两个数据项之间执行比较（一个可视化的“差异”）的工具。
• Extender — 允许安全测试人员加载 Burp 扩展，使用安全测试人员自己的或第三方代码（BAppStore（页面存档备份，存于互联网档案馆））扩展 Burp 的功能
• Sequencer — 一种分析数据项样本随机性的工具。它可以用于测试应用程序的会话令牌或其他重要的数据项，如反 CSRF 令牌、密码重置令牌等。

另请参阅[编辑]

• 渗透测试
• Web应用程序安全扫描器
• Fiddler（软件）
• 代理服务器
• OWASP ZAP（英语：OWASP ZAP）

参考文献[编辑]

外部链接[编辑]

• 官方网站
• Burp Suite 支持中心（页面存档备份，存于互联网档案馆）包含大量有关使用 Burp Suite 的文章和社区讨论。
• Burp 测试方法（页面存档备份，存于互联网档案馆）解释了使用 Burp Suite 测试各种 Web 应用程序漏洞的方法。
• 知识库（页面存档备份，存于互联网档案馆）包含 Burp Scanner 可以检测到的所有问题的定义。
• Burp Suite Essentials，作者 Akash Mahajan，由 PACKT 出版（页面存档备份，存于互联网档案馆）
• Sec Tools（页面存档备份，存于互联网档案馆）