Burp Suite(滲透測(cè)試工具)

Burp Suite Professional 2020是一款全球知名的Web安全滲透測(cè)試工具，該軟件界面簡(jiǎn)潔，功能強(qiáng)大，提供了Target目標(biāo)、Proxy代理、Spider蜘蛛、Scanner掃描、Intruder入侵、Repeater中繼器、Sequencer定序器、Decoder解碼器、Comparer比較器等超多功能模塊，能夠很好的滿足用戶的web掃描需求，致力于帶給你專業(yè)、高效、強(qiáng)大的使用體驗(yàn)。除此之外，這款軟件操作簡(jiǎn)單，使用便捷，幫助用戶快速、有效的進(jìn)行網(wǎng)絡(luò)安全測(cè)試，并且可執(zhí)行所有的測(cè)試能夠無(wú)縫地進(jìn)行從基礎(chǔ)分析到發(fā)現(xiàn)弱點(diǎn)和漏洞的各種測(cè)試操作，非常給力。與此同時(shí)，軟件還可以通過(guò)攔截HTTP / HTTPS的網(wǎng)絡(luò)數(shù)據(jù)包，重組瀏覽器和相關(guān)應(yīng)用程序的中間人，進(jìn)行攔截，修改，重新數(shù)據(jù)包進(jìn)行測(cè)試。全新版本的Burp Suite Professional 2020還內(nèi)置的多種滲透測(cè)試組件，來(lái)更好的完成對(duì)web應(yīng)用的滲透測(cè)試和攻擊，既可以操作方式可選擇自動(dòng)化，也可選擇手動(dòng)，讓測(cè)試工作變得更加容易，還支持通過(guò)檢查漏洞來(lái)確定漏洞的優(yōu)先級(jí)，是廣大網(wǎng)絡(luò)安全人員的必備的掃描測(cè)試神器。
PS.本站為你提供的是Burp Suite中文版，該版本由網(wǎng)友上傳，已完成漢化（當(dāng)前適合國(guó)內(nèi)用戶使用的最優(yōu)版本），內(nèi)置注冊(cè)機(jī)可以有效激活軟件，隨后便奉上詳細(xì)的安裝圖文教程和使用教程，親測(cè)有效，歡迎有需要用戶下載使用。

Burp Suite 2020漢化版安裝教程

注意：Burp Suite Pro 2020.8版本需要 JDK 9 以上才能運(yùn)行，否則會(huì)出現(xiàn)閃退情況。
1、下載解壓，得到Burp Suite Pro 2020.8程序和注冊(cè)機(jī)文件；

2、首先，雙擊 “Burp_start_chs.vbs” 可以啟動(dòng)中文版軟件， “Burp_start_en.vbs” 是英文版，提示輸入許可證；

3、打開注冊(cè)機(jī)，將許可證密鑰復(fù)制然后點(diǎn)擊下一步；

4、彈出激活方式，這里我們選擇手動(dòng)激活；

5、將激活請(qǐng)求復(fù)制到注冊(cè)機(jī)，然后再將激活響應(yīng)復(fù)制到軟件內(nèi)，即可完成激活；

6、至此，Burp Suite Professional 2020安裝成功，所有功能全部免費(fèi)使用。

軟件特色

1、自動(dòng)收獲低垂的水果
Web漏洞掃描程序是Burp Suite Professional的核心。這是世界上許多最大的組織信任的掃描儀。
該掃描儀涵蓋整個(gè)OWASP Top 10，并且能夠進(jìn)行被動(dòng)和主動(dòng)分析。當(dāng)然，開發(fā)工作由PortSwigger的世界領(lǐng)先研究團(tuán)隊(duì)負(fù)責(zé)。
2、通過(guò)人工指導(dǎo)的自動(dòng)化節(jié)省更多時(shí)間
使用純自動(dòng)化工具無(wú)法找到每個(gè)Web安全漏洞。許多需要某種形式的人工輸入。但是，利用這些漏洞通?？赡苁且患钊藚挓┑娜蝿?wù)。
Burp Intruder等強(qiáng)大的省力工具可讓您更好地利用自己的時(shí)間。當(dāng)對(duì)漏洞進(jìn)行模糊處理或使用其他蠻力技術(shù)時(shí)，尤其如此。
3、瑞士黑客專用刀
很容易看出Burp Suite Pro為何起作用。這是一個(gè)真正的一站式解決方案，可快速，可靠地發(fā)現(xiàn)和利用Web應(yīng)用程序中的漏洞。
但這還不止于此。通過(guò)BApp Store，您可以訪問數(shù)百個(gè)社區(qū)生成的插件。Burp Suite的Extender API允許您編寫自己的。通過(guò)以這種方式增強(qiáng)Burp Suite Pro的功能，其應(yīng)用幾乎變得無(wú)限。
4、業(yè)界最受歡迎的工具
Burp Suite Professional在130多個(gè)國(guó)家/地區(qū)擁有40,000多名用戶。這使其成為用于Web安全測(cè)試的世界上使用最廣泛的工具箱。
這不是偶然發(fā)生的。我們的工具眾所周知是用戶知識(shí)的倍增器。
當(dāng)然，我們會(huì)這樣說(shuō)。但是，請(qǐng)看一下我們的憑據(jù)。我們的軟件可以保護(hù)許多世界上最強(qiáng)大的組織：
5、其他人跟隨
Burp最初由我們的創(chuàng)始人Dafydd Stuttard撰寫。您可能會(huì)從The Web Application Hacker's Handbook（關(guān)于Web安全的事實(shí)上的標(biāo)準(zhǔn)教科書）中知道Daf的名字。Daf仍然領(lǐng)導(dǎo)我們的開發(fā)團(tuán)隊(duì)。
沒有研究，您將無(wú)法擁有最先進(jìn)的工具- 我們的團(tuán)隊(duì)是首屈一指的。PortSwigger致力于教育，您將在全球各地的會(huì)議上找到我們。

功能特色

一、Web漏洞掃描程序
1、涵蓋了100多個(gè)通用漏洞，例如SQL注入和跨站點(diǎn)腳本（XSS），在OWASP前10名中的所有漏洞中均具有出色的性能。
2、Burp的尖端 Web應(yīng)用程序搜尋器 準(zhǔn)確地映射內(nèi)容和功能，自動(dòng)處理會(huì)話，狀態(tài)更改，易失性內(nèi)容和應(yīng)用程序登錄。
3、Burp Scanner包括一個(gè)完整的 JavaScript分析 引擎，該引擎結(jié)合了靜態(tài)（SAST）和動(dòng)態(tài)（DAST）技術(shù)，用于檢測(cè)客戶端JavaScript中的安全漏洞。
7、所有報(bào)告的漏洞均包含詳細(xì)的自定義建議。這些內(nèi)容包括問題的完整說(shuō)明以及逐步的修復(fù)建議。會(huì)針對(duì)每個(gè)問題動(dòng)態(tài)生成建議性措詞，并準(zhǔn)確描述任何特殊功能或補(bǔ)救點(diǎn)。
二、先進(jìn)的手動(dòng)工具
1、使用Burp項(xiàng)目文件實(shí)時(shí)增量保存您的工作，并從上次中斷的地方無(wú)縫接聽。
2、使用配置庫(kù)可以使用不同的設(shè)置快速啟動(dòng)目標(biāo)掃描。
3、在Burp的中央儀表板上查看所有發(fā)現(xiàn)的漏洞的實(shí)時(shí)反饋。
4、將手動(dòng)插入點(diǎn)放置 在請(qǐng)求中的任意位置，以通知掃描儀有關(guān)非標(biāo)準(zhǔn)輸入和數(shù)據(jù)格式的信息。
5、瀏覽時(shí) 使用 實(shí)時(shí)掃描， 以完全控制針對(duì)哪些請(qǐng)求執(zhí)行的操作。
有關(guān)每個(gè)請(qǐng)求和響應(yīng)的所有相關(guān)信息。捕獲的數(shù)據(jù)包括有效載荷值和位置，HTTP狀態(tài)代碼，響應(yīng)計(jì)時(shí)器，cookie，重定向數(shù)以及任何已配置的grep或數(shù)據(jù)提取設(shè)置的結(jié)果。
三、基本手動(dòng)工具
1、Burp Proxy允許手動(dòng)測(cè)試人員攔截瀏覽器和目標(biāo)應(yīng)用程序之間的所有請(qǐng)求和響應(yīng)，即使使用HTTPS時(shí)也是如此。
2、您可以查看，編輯或刪除單個(gè)消息，以操縱應(yīng)用程序的服務(wù)器端或客戶端組件。
3、該代理歷史記錄所有請(qǐng)求和響應(yīng)通過(guò)代理的全部細(xì)節(jié)。
4、您可以用注釋和彩色突出顯示來(lái)注釋單個(gè)項(xiàng)目，以便標(biāo)記有趣的項(xiàng)目，以便以后進(jìn)行手動(dòng)后續(xù)操作。
5、Burp Proxy可以對(duì)響應(yīng)執(zhí)行各種自動(dòng)修改，以方便測(cè)試。例如，您可以取消隱藏隱藏的表單字段，啟用禁用的表單字段并刪除JavaScript表單驗(yàn)證。

Burp Suite 2020中文版使用教程

1、首先需要安裝一個(gè)java環(huán)境。

2、然后需要下載好一個(gè)burpsuite的軟件，如果是jar包就用java -jar 打開就可以了。

3、如果要使用代理的話，可以使用火狐插件FoxyProxy設(shè)置。

4、Burp Suite 2020也要對(duì)應(yīng)設(shè)置好。

5、先點(diǎn)擊這里就可以對(duì)訪問的流量進(jìn)行一個(gè)攔截。

6、瀏覽器對(duì)網(wǎng)址進(jìn)行訪問，即可成功截取請(qǐng)求信息。

常見問題

1、什么是網(wǎng)站漏洞掃描？
網(wǎng)站漏洞掃描是發(fā)現(xiàn)網(wǎng)站安全漏洞的最快方法。防御者可以定期運(yùn)行自動(dòng)掃描-允許他們修復(fù)出現(xiàn)的問題?？紤]到網(wǎng)絡(luò)安全的快速發(fā)展，這一點(diǎn)很重要。如果沒有漏洞掃描，則很難保持和保持合規(guī)性/避免數(shù)據(jù)泄露。
為此，防御者使用一種稱為Web漏洞掃描程序的軟件。漏洞掃描程序比手動(dòng)測(cè)試有效得多，并且最好的工具可以標(biāo)記除最奇特的bug外的所有bug。軟件的核心的漏洞掃描器就是這樣一種工具。
2、為什么需要漏洞掃描器？
數(shù)據(jù)保護(hù)法規(guī)正在增加。數(shù)據(jù)泄露的潛在后果比以往任何時(shí)候都要糟。但是，缺乏安全意識(shí)意味著網(wǎng)站通常建有漏洞-使其面臨遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。通過(guò)使用軟件之類的軟件進(jìn)行漏洞測(cè)試，您可以大大降低風(fēng)險(xiǎn)。
甚至專家滲透測(cè)試人員都可以從使用漏洞掃描程序中受益。人們根本無(wú)法像計(jì)算機(jī)那樣快速，詳細(xì)地檢查網(wǎng)站。并且使用掃描儀將在短期內(nèi)概述站點(diǎn)的安全性。這使戊二酸酯可以自由地使用他們的技能來(lái)探測(cè)深?yuàn)W的缺陷。
3、Burp Web漏洞掃描程序可以做什么？
我們的掃描儀可以使用被動(dòng)和主動(dòng)兩種方法來(lái)測(cè)試站點(diǎn)的安全性。這些方法中更具攻擊性的-主動(dòng)掃描-實(shí)際上將模擬攻擊以發(fā)現(xiàn)漏洞。軟件允許您根據(jù)自己的需要量身定制掃描-無(wú)論您需要快速，簡(jiǎn)單的方法還是更深入的安全性視圖。
Burp Scanner可以檢測(cè)到一系列常見錯(cuò)誤，包括跨站點(diǎn)腳本（XSS）和SQL注入。但這遠(yuǎn)不止于此-檢測(cè)大量其他漏洞。HTTP請(qǐng)求走私是最近的一個(gè)例子，并大量建立在PortSwigger的研究基礎(chǔ)上。
4、如何選擇漏洞掃描軟件？
由于Web漏洞掃描程序有許多用途，因此它們往往以不同的方式打包。例如，PortSwigger同時(shí)生產(chǎn)本軟件和Enterprise Edition。兩者都包含Burp Web漏洞掃描程序，但是它們是非常不同的軟件。
軟件是面向漏洞賞金獵人和滲透測(cè)試人員的高級(jí)工具包。軟件企業(yè)版是適用于組織和開發(fā)團(tuán)隊(duì)的可擴(kuò)展的自動(dòng)掃描儀。如您所見，各種各樣的組織選擇Burp來(lái)提供保護(hù)。