Burp suite
Burp或Burp Suite(飽嗝套裝)是一個用於測試網絡應用程式安全性的圖形化工具。該工具使用Java編寫,由PortSwigger Web Security開發。
該工具有三個版本。可以免費下載的社區版、專業版和試用後可以購買的企業版。社區版大大減少了功能。它是為網絡應用程式安全檢查提供全面解決方案而開發的。除了代理伺服器、Scanner和Intruder等基本功能外,該工具還包含更高級的選項,如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。
Burp suite背後的公司還開發了一個行動應用程式,其中包含與iOS8及更高版本兼容的類似工具。
PortSwigger由網絡安全領域的領先專家Dafydd Stuttard於2004年創建。[1]
工具
- HTTP代理 — 它作為一個 Web 代理伺服器運行,並且位於瀏覽器和目標 Web 伺服器之間。這允許攔截、檢查和修改在兩個方向上通過的原始流量。
- Scanner — 一個 Web 應用程式安全掃描器,用於執行 Web 應用程式的自動漏洞掃描。
- Intruder — 此工具可以對 Web 應用程式執行自動攻擊。該工具提供了一種可配置的算法,可以生成惡意 HTTP 請求。Intruder 工具可以測試和檢測 SQL 注入、跨站腳本、參數篡改和易受蠻力攻擊的漏洞。
- Spider — 一個自動抓取 Web 應用程式的工具。它可以與手工映射技術一起使用,以加快映射應用程式內容和功能的過程。
- Repeater — 一個可以用來手動測試應用程式的簡單工具。它可以用於修改對伺服器的請求,重新發送它們並觀察結果。
- Decoder — 一種將已編碼的數據轉換為其規範形式,或將原始數據轉換為各種編碼和散列形式的工具。它能夠利用啟發式技術智能識別多種編碼格式。
- Comparer — 在任意兩個數據項之間執行比較(一個可視化的「差異」)的工具。
- Extender — 允許安全測試人員加載 Burp 擴展,使用安全測試人員自己的或第三方代碼(BAppStore(頁面存檔備份,存於網際網路檔案館))擴展 Burp 的功能
- Sequencer — 一種分析數據項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的數據項,如反 CSRF 令牌、密碼重置令牌等。
另請參閱
參考文獻
- ^ PortSwigger Web Security. About PortSwigger Web Security. portswigger.net. PortSwigger Web Security. [2019-01-07]. (原始內容存檔於2018-11-24).