- 版本:2022.5
- 大小:512.03MB
- 支持度:0 %
- 更新:2025-06-09
软件特色介绍
burpsuite是一款由portswigger开发的集成化的web应用安全检测工具,它广泛应用于web应用的漏洞扫描和攻击模拟。
集成化平台:
burp suite提供了一个统一的平台,集成了多种安全测试工具,使得用户可以方便地进行各种web应用安全测试。
强大的代理功能:
提供了拦截http/https请求和响应的代理服务器,允许用户查看、修改和重放这些请求和响应,有助于发现和利用安全漏洞。
高度可配置和可扩展性:
用户可以根据需要配置各种测试参数,并可以通过编写插件来扩展burp suite的功能,以满足特定的测试需求。
详细的报告生成:
自动生成的测试报告详细记录了发现的漏洞、测试过程和方法,有助于用户向相关部门或管理人员报告安全问题。
软件功能
拦截代理(proxy):
拦截并查看浏览器和目标应用程序之间的原始数据流,允许用户修改这些数据流并观察应用程序的响应。
网络爬虫(spider):
自动遍历web应用程序的所有页面,收集网页和目录,构建应用程序的站点地图,有助于用户全面了解应用程序的结构。
漏洞扫描器(scanner,仅限专业版):
自动发现web应用程序中的安全漏洞,如sql注入、跨站脚本攻击(xss)、跨站请求伪造(csrf)等,并生成详细的漏洞报告。
入侵者(intruder):
高度可配置的工具,用于自动化攻击,如枚举标识符、收集数据等。它支持多种攻击模式,如狙击手模式、冲撞车模式、草叉模式和焦束炸弹模式。
重放器(repeater):
手动操作工具,用于补发单独的http请求并分析应用程序的响应。用户可以修改请求中的参数并观察应用程序的不同响应,从而判断参数是否存在安全风险。
会话令牌分析器(sequencer):
分析应用程序会话令牌和重要数据项的随机性。通过收集和分析大量的令牌样本,评估这些数据是否足够安全,从而发现如会话固定、令牌预测等安全隐患。
编码和解码器(decoder):
提供对各种编码方案和转义序列的解码和编码功能。这有助于用户理解和处理应用程序中使用的自定义编码和转义。
比较器(comparer):
比较两个http/https请求或响应之间的差异和相似之处。这对于识别应用程序在不同情况下的响应差异以及实施攻击后的变化非常有帮助。
目标管理器(target):
定义和管理测试目标的组件。用户可以添加、删除和编辑目标网站的相关信息,包括目标的范围(如特定的url路径范围)、目标的状态(是否正在测试等)等。
扩展器(extender):
允许用户扩展burp suite功能的组件。用户可以通过编写自定义的插件或者加载第三方插件来添加新的功能。
记录器(logger):
记录所有通过代理的请求和响应的详细信息。这些记录可以在后续的分析中发挥作用,便于在发现问题后进行回溯和分析。
安装步骤
