软件展示
Burp Suite Community Edition是一款专业强大的网络安全测试软件,其中包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
【软件特色】
1、自动抓取和扫描
①在进行自动扫描或手动测试之前,Burp的高级应用程序感知爬行程序可用于绘制应用程序内容。
②使用细粒度的基于范围的配置来精确控制要包含在爬网或扫描中的主机和URL。
③自动检测自定义未发现的响应,以减少爬网过程中的误报。
2、清晰而详细地显示漏洞
该目标站点地图显示所有已在网站被发现被测试的内容。内容呈现在与网站的网址结构相对应的树形视图中。在树中选择分支或节点会显示单个项目的列表,其中包含详细信息,包括请求和响应(如果可用)。
3、使用中间人代理拦截浏览器流量
①Burp Proxy允许手动测试人员拦截浏览器和目标应用程序之间的所有请求和响应,即使在使用HTTPS时也是如此。
②您可以查看,编辑或删除单个消息来操纵应用程序的服务器端或客户端组件。
③该代理历史记录所有请求和响应通过代理的全部细节。
④您可以使用注释和彩色高亮标注各个项目,以便稍后为您标记有趣的项目以进行手动跟踪。
⑤Burp Proxy可以执行各种自动修改响应以促进测试。例如,您可以取消隐藏隐藏的表单字段,启用禁用的表单字段,并删除JavaScript表单验证。
您可以使用匹配和替换规则自动将自定义修改应用于通过代理的请求和响应。您可以创建对邮件标头和正文,请求参数或URL文件路径进行操作的规则。
⑥Burp有助于消除拦截HTTPS连接时可能发生的浏览器安全警告。在安装时,Burp会生成一个可以在浏览器中安装的唯一CA证书。然后为您访问的每个域(由可信CA证书签名)生成主机证书。
⑦Burp支持非代理感知客户端的不可见代理,支持非标准用户代理(如胖客户端应用程序和某些移动应用程序)的测试。
⑧拦截HTML5 WebSockets消息并将其记录到单独的历史记录中,方法与常规HTTP消息相同。
⑨您可以配置细粒度拦截规则,以精确控制拦截哪些邮件,让您专注于最有趣的交互。
4、先进的手动测试工具
①所有请求和响应都显示在功能丰富的HTTP消息编辑器中。这为底层消息提供了许多意见,以帮助分析和修改其内容。
②个人请求和响应可以在Burp工具之间轻松发送,以支持各种手动测试工作流程。
③Repeater工具可让您手动编辑和重新发出各个请求,并提供完整的请求和响应历史记录。
④Sequencer工具用于对会话标记进行统计分析,使用标准密码测试进行随机性分析。
⑤解码器工具可让您在常用编码方案和现代网络上使用的格式之间转换数据。
⑥Clickbandit工具会针对易受攻击的应用程序功能生成工作点击劫持攻击。
⑦比较器工具在成对的请求和响应或其他有趣的数据之间执行视觉差异。
⑧比较网站地图功能可以比较两个站点地图并突出显示差异。此功能可以以各种方式用于帮助查找不同类型的访问控制漏洞。
5、克服连接挑战
①Burp支持使用Basic,NTLMv1和v2以及摘要式身份验证类型的平台身份验证。
②您可以在测试期间将受认证所需的客户端SSL证书和智能卡加载到受保护的应用程序中。
③您可以配置SSL协商的所有详细信息,以帮助处理异常配置的目标。
④Burp可以自动处理会话处理机制,包括常规登录和跨站点请求伪造令牌。
⑤您可以记录宏来重复公共序列的请求,以便在会话处理机制中使用。
⑥您可以创建自定义会话处理规则来处理特定情况。会话处理规则可以自动登录,检测并恢复无效会话,并获取有效的CSRF令牌。
6、可扩展性
①强大的Burp Extender API允许扩展自定义Burp的行为并与其他工具集成。Burp扩展的常见用例包括动态修改HTTP请求和响应,自定义Burp UI,添加自定义扫描程序检查以及访问关键运行时信息,包括爬网和扫描结果。
②该BAPP商店是贡献的爆发式的用户社区随时可以使用扩展的存储库。这些可以通过在Burp UI中单击进行安装。
③您可以使用Java,Python或Ruby编程语言轻松创建自己的扩展。
【功能特性】
拦截代理(Proxy),你可以检查和更改浏览器与目标应用程序间的流量;
可感知应用程序的网络爬虫(Spider),它能完整的枚举应用程序的内容和功能;
高级扫描器,执行后它能自动地发现web应用程序的安全漏洞;
入侵测试工具(Intruder),用于执行强大的定制攻击去发现及利用不同寻常的漏洞;
重放工具(Repeater),一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具;
会话工具(Sequencer),用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具;
解码器,进行手动执行或对应用程序数据者智能解码编码的工具;
扩展性强,可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
热门文章
tff模拟器
关于TFF模拟器的深度解析 TFF模拟器是一种先进的软件模拟工具,旨在为用户提供一个可配置的虚拟环境,用于测试、开发和优化各类应用程序。它通过模拟特定硬件或软件系统的行为,帮助用户在不实际部署真实设备的情况下,进行功能验证和性能评估。 该模拟器通常包含多个核心功能
制作二战模拟器游戏
制作二战模拟器游戏 二战模拟器游戏旨在通过高度还原的历史背景与军事策略,让玩家沉浸于20世纪中叶的全球冲突环境中。这类游戏的核心目标在于提供真实感与策略深度,同时兼顾娱乐性与教育价值。 在游戏概念阶段,开发者需明确核心主题与目标受众。通常这类游戏聚焦于特定战役
启体模拟器
启体模拟器的定义与背景 启体模拟器是一种专门用于模拟启体系统运行状态的软件工具,结合了虚拟化技术和系统仿真算法,旨在为用户提供一个可交互的启体环境。随着启体技术在各个领域的广泛应用,对启体系统的测试和开发需求日益增长,启体模拟器应运而生,成为连接启体系统设
wii模拟器系统
Wii模拟器系统概述 Wii模拟器系统是一种软件解决方案,旨在让个人计算机或移动设备能够运行Wii游戏。它通过模拟Wii主机的硬件和软件环境来实现这一目标。该系统允许用户在非原生硬件上体验Wii游戏库,无需购买昂贵的Wii主机。 系统核心组件 一个完整的Wii模拟器系统主要由三个
安卓模拟器陌陌闪退
安卓模拟器陌陌闪退问题分析 在使用安卓模拟器运行陌陌应用时,用户常遇到应用突然关闭或闪退的情况,影响正常社交使用体验。 导致该问题的可能原因包括:模拟器与陌陌应用的兼容性问题,系统版本不匹配导致应用无法正常运行,应用自身存在漏洞或兼容性缺陷,以及模拟器设置参
可以在车里玩的模拟器
车内模拟器:移动娱乐的终极体验 车内模拟器为现代旅行者提供了一种新颖且引人入胜的娱乐方式。它将传统的桌面游戏体验与移动环境相结合,为驾驶或乘坐提供了持续的乐趣。这种设备旨在解决长途旅行中常见的无聊问题,同时为用户创造一个沉浸式的虚拟世界。 这类模拟器的核心功
号牌模拟器
号牌模拟器是一种软件工具,用于生成和展示虚拟的车辆号牌。它允许用户创建自定义的号牌,包括各种文字、数字和特殊符号,并模拟不同地区的车牌样式。这类工具通常用于设计、教育或娱乐目的,帮助用户预览不同类型的号牌效果。 号牌模拟器的核心功能包括号牌模板选择、文字和