Burp Suite(滲透測試工具)

Burp Suite Professional 2020是一款全球知名的Web安全滲透測試工具，該軟件界面簡潔，功能強大，提供了Target目標、Proxy代理、Spider蜘蛛、Scanner掃描、Intruder入侵、Repeater中繼器、Sequencer定序器、Decoder解碼器、Comparer比較器等超多功能模塊，能夠很好的滿足用戶的web掃描需求，致力于帶給你專業(yè)、高效、強大的使用體驗。除此之外，這款軟件操作簡單，使用便捷，幫助用戶快速、有效的進行網(wǎng)絡安全測試，并且可執(zhí)行所有的測試能夠無縫地進行從基礎分析到發(fā)現(xiàn)弱點和漏洞的各種測試操作，非常給力。與此同時，軟件還可以通過攔截HTTP / HTTPS的網(wǎng)絡數(shù)據(jù)包，重組瀏覽器和相關應用程序的中間人，進行攔截，修改，重新數(shù)據(jù)包進行測試。全新版本的Burp Suite Professional 2020還內(nèi)置的多種滲透測試組件，來更好的完成對web應用的滲透測試和攻擊，既可以操作方式可選擇自動化，也可選擇手動，讓測試工作變得更加容易，還支持通過檢查漏洞來確定漏洞的優(yōu)先級，是廣大網(wǎng)絡安全人員的必備的掃描測試神器。
PS.本站為你提供的是Burp Suite中文版，該版本由網(wǎng)友上傳，已完成漢化（當前適合國內(nèi)用戶使用的最優(yōu)版本），內(nèi)置注冊機可以有效激活軟件，隨后便奉上詳細的安裝圖文教程和使用教程，親測有效，歡迎有需要用戶下載使用。

Burp Suite 2020漢化版安裝教程

注意：Burp Suite Pro 2020.8版本需要 JDK 9 以上才能運行，否則會出現(xiàn)閃退情況。
1、下載解壓，得到Burp Suite Pro 2020.8程序和注冊機文件；

2、首先，雙擊 “Burp_start_chs.vbs” 可以啟動中文版軟件， “Burp_start_en.vbs” 是英文版，提示輸入許可證；

3、打開注冊機，將許可證密鑰復制然后點擊下一步；

4、彈出激活方式，這里我們選擇手動激活；

5、將激活請求復制到注冊機，然后再將激活響應復制到軟件內(nèi)，即可完成激活；

6、至此，Burp Suite Professional 2020安裝成功，所有功能全部免費使用。

軟件特色

1、自動收獲低垂的水果
Web漏洞掃描程序是Burp Suite Professional的核心。這是世界上許多最大的組織信任的掃描儀。
該掃描儀涵蓋整個OWASP Top 10，并且能夠進行被動和主動分析。當然，開發(fā)工作由PortSwigger的世界領先研究團隊負責。
2、通過人工指導的自動化節(jié)省更多時間
使用純自動化工具無法找到每個Web安全漏洞。許多需要某種形式的人工輸入。但是，利用這些漏洞通?？赡苁且患钊藚挓┑娜蝿?。
Burp Intruder等強大的省力工具可讓您更好地利用自己的時間。當對漏洞進行模糊處理或使用其他蠻力技術時，尤其如此。
3、瑞士黑客專用刀
很容易看出Burp Suite Pro為何起作用。這是一個真正的一站式解決方案，可快速，可靠地發(fā)現(xiàn)和利用Web應用程序中的漏洞。
但這還不止于此。通過BApp Store，您可以訪問數(shù)百個社區(qū)生成的插件。Burp Suite的Extender API允許您編寫自己的。通過以這種方式增強Burp Suite Pro的功能，其應用幾乎變得無限。
4、業(yè)界最受歡迎的工具
Burp Suite Professional在130多個國家/地區(qū)擁有40,000多名用戶。這使其成為用于Web安全測試的世界上使用最廣泛的工具箱。
這不是偶然發(fā)生的。我們的工具眾所周知是用戶知識的倍增器。
當然，我們會這樣說。但是，請看一下我們的憑據(jù)。我們的軟件可以保護許多世界上最強大的組織：
5、其他人跟隨
Burp最初由我們的創(chuàng)始人Dafydd Stuttard撰寫。您可能會從The Web Application Hacker's Handbook（關于Web安全的事實上的標準教科書）中知道Daf的名字。Daf仍然領導我們的開發(fā)團隊。
沒有研究，您將無法擁有最先進的工具- 我們的團隊是首屈一指的。PortSwigger致力于教育，您將在全球各地的會議上找到我們。

功能特色

一、Web漏洞掃描程序
1、涵蓋了100多個通用漏洞，例如SQL注入和跨站點腳本（XSS），在OWASP前10名中的所有漏洞中均具有出色的性能。
2、Burp的尖端 Web應用程序搜尋器 準確地映射內(nèi)容和功能，自動處理會話，狀態(tài)更改，易失性內(nèi)容和應用程序登錄。
3、Burp Scanner包括一個完整的 JavaScript分析 引擎，該引擎結合了靜態(tài)（SAST）和動態(tài)（DAST）技術，用于檢測客戶端JavaScript中的安全漏洞。
7、所有報告的漏洞均包含詳細的自定義建議。這些內(nèi)容包括問題的完整說明以及逐步的修復建議。會針對每個問題動態(tài)生成建議性措詞，并準確描述任何特殊功能或補救點。
二、先進的手動工具
1、使用Burp項目文件實時增量保存您的工作，并從上次中斷的地方無縫接聽。
2、使用配置庫可以使用不同的設置快速啟動目標掃描。
3、在Burp的中央儀表板上查看所有發(fā)現(xiàn)的漏洞的實時反饋。
4、將手動插入點放置 在請求中的任意位置，以通知掃描儀有關非標準輸入和數(shù)據(jù)格式的信息。
5、瀏覽時 使用 實時掃描， 以完全控制針對哪些請求執(zhí)行的操作。
有關每個請求和響應的所有相關信息。捕獲的數(shù)據(jù)包括有效載荷值和位置，HTTP狀態(tài)代碼，響應計時器，cookie，重定向數(shù)以及任何已配置的grep或數(shù)據(jù)提取設置的結果。
三、基本手動工具
1、Burp Proxy允許手動測試人員攔截瀏覽器和目標應用程序之間的所有請求和響應，即使使用HTTPS時也是如此。
2、您可以查看，編輯或刪除單個消息，以操縱應用程序的服務器端或客戶端組件。
3、該代理歷史記錄所有請求和響應通過代理的全部細節(jié)。
4、您可以用注釋和彩色突出顯示來注釋單個項目，以便標記有趣的項目，以便以后進行手動后續(xù)操作。
5、Burp Proxy可以對響應執(zhí)行各種自動修改，以方便測試。例如，您可以取消隱藏隱藏的表單字段，啟用禁用的表單字段并刪除JavaScript表單驗證。

Burp Suite 2020中文版使用教程

1、首先需要安裝一個java環(huán)境。

2、然后需要下載好一個burpsuite的軟件，如果是jar包就用java -jar 打開就可以了。

3、如果要使用代理的話，可以使用火狐插件FoxyProxy設置。

4、Burp Suite 2020也要對應設置好。

5、先點擊這里就可以對訪問的流量進行一個攔截。

6、瀏覽器對網(wǎng)址進行訪問，即可成功截取請求信息。

常見問題

1、什么是網(wǎng)站漏洞掃描？
網(wǎng)站漏洞掃描是發(fā)現(xiàn)網(wǎng)站安全漏洞的最快方法。防御者可以定期運行自動掃描-允許他們修復出現(xiàn)的問題。考慮到網(wǎng)絡安全的快速發(fā)展，這一點很重要。如果沒有漏洞掃描，則很難保持和保持合規(guī)性/避免數(shù)據(jù)泄露。
為此，防御者使用一種稱為Web漏洞掃描程序的軟件。漏洞掃描程序比手動測試有效得多，并且最好的工具可以標記除最奇特的bug外的所有bug。軟件的核心的漏洞掃描器就是這樣一種工具。
2、為什么需要漏洞掃描器？
數(shù)據(jù)保護法規(guī)正在增加。數(shù)據(jù)泄露的潛在后果比以往任何時候都要糟。但是，缺乏安全意識意味著網(wǎng)站通常建有漏洞-使其面臨遭受網(wǎng)絡攻擊的風險。通過使用軟件之類的軟件進行漏洞測試，您可以大大降低風險。
甚至專家滲透測試人員都可以從使用漏洞掃描程序中受益。人們根本無法像計算機那樣快速，詳細地檢查網(wǎng)站。并且使用掃描儀將在短期內(nèi)概述站點的安全性。這使戊二酸酯可以自由地使用他們的技能來探測深奧的缺陷。
3、Burp Web漏洞掃描程序可以做什么？
我們的掃描儀可以使用被動和主動兩種方法來測試站點的安全性。這些方法中更具攻擊性的-主動掃描-實際上將模擬攻擊以發(fā)現(xiàn)漏洞。軟件允許您根據(jù)自己的需要量身定制掃描-無論您需要快速，簡單的方法還是更深入的安全性視圖。
Burp Scanner可以檢測到一系列常見錯誤，包括跨站點腳本（XSS）和SQL注入。但這遠不止于此-檢測大量其他漏洞。HTTP請求走私是最近的一個例子，并大量建立在PortSwigger的研究基礎上。
4、如何選擇漏洞掃描軟件？
由于Web漏洞掃描程序有許多用途，因此它們往往以不同的方式打包。例如，PortSwigger同時生產(chǎn)本軟件和Enterprise Edition。兩者都包含Burp Web漏洞掃描程序，但是它們是非常不同的軟件。
軟件是面向漏洞賞金獵人和滲透測試人員的高級工具包。軟件企業(yè)版是適用于組織和開發(fā)團隊的可擴展的自動掃描儀。如您所見，各種各樣的組織選擇Burp來提供保護。