无论您是希望在暗模式下工作还是想使用自定义扫描配置,我们都能满足您的需求。Burp Suite Professional 是为定制而设计的。
软件功能
一、手动渗透测试功能
1、拦截浏览器看到的所有内容
强大的代理/历史记录可让您修改通过浏览器的所有HTTP(S)通信。
2、管理侦察数据
所有目标数据都汇总并存储在目标站点地图中-具有过滤和注释功能。
3、暴露隐藏的攻击面
使用针对“不可见”内容的高级自动发现功能查找隐藏目标功能。
4、测试点击劫持攻击
使用专业工具为潜在易受攻击的网页生成并确认点击劫持攻击。
5、使用WebSocket
WebSockets消息有自己的特定历史记录-允许您查看和修改它们。
6、有效破解HTTPS
代理甚至可以保护HTTPS流量。安装您的唯一CA证书会删除相关的浏览器安全警告。
7、手动测试带外漏洞
在手动测试期间使用专用客户端来整合Burp Suite的带外(OAST)功能。
8、加快细化工作流程
在单个窗口内修改和重新发出单个HTTP和WebSocket消息,并分析响应。
9、快速评估您的目标
确定目标应用程序的大小。静态和动态URL以及URL参数的自动枚举。
10、评估令牌强度
轻松测试旨在不可预测的数据项(例如令牌)中的随机性质量。
二、高级/自定义自动攻击
1、更快的暴力破解和模糊测试
部署包含多个有效负载集的自定义HTTP请求序列。从根本上减少花在许多任务上的时间。
2、查询自动攻击结果
在自定义表格中捕获自动结果,然后过滤和注释以找到有趣的条目/改进后续攻击。
3、构建CSRF漏洞利用
轻松生成CSRF概念验证攻击。选择任何合适的请求来生成漏洞利用HTML。
4、促进更深入的手动测试
即使没有确认错误,也可以查看反映/存储的输入。促进对XSS等问题的测试。
5、浏览时扫描
被动扫描您发出的每个请求或对特定URL执行主动扫描的选项。
6、自动修改HTTP消息
自动修改响应的设置。匹配和替换响应和请求的规则。
三、自动扫描漏洞
1、利用开创性的AST技术
高信号:低噪音。使用开创性、无摩擦、带外应用程序安全测试(OAST)进行扫描。
2、征服客户端攻击面
混合AST和内置JavaScript分析引擎有助于发现客户端攻击面中的漏洞。
3、通过研究推动漏洞覆盖
PortSwigger Research的尖端扫描逻辑与100多个通用错误的覆盖范围相结合。
4、微调扫描控制
使用用户驱动的扫描方法获得细粒度控制。或者,运行“点击式”扫描。
5、有效修复错误
来自PortSwigger Research的每个错误的自定义描述和分步修复建议。
6、配置扫描行为
自定义您审核的内容和方式。跳过特定检查、微调插入点等等。
7、导航困难的应用程序
抓取更复杂的目标。Burp Suite的爬虫根据内容识别位置,而不仅仅是URL。
8、有效应用IAST
使用可选的代码检测简化了源识别和漏洞报告。
9、体验浏览器驱动的扫描
浏览器驱动的扫描已经朝着更好地覆盖棘手的目标迈进,比如重AJAX的单页应用程序。
四、生产力工具
1、深入的消息分析
在功能丰富的HTTP编辑器中显示跟进、分析、参考、发现和修复。
2、利用内置和自定义配置
访问常见任务的预定义配置,或保存和重复使用自定义配置。
3、增加项目选项
将所有工作项目自动保存到磁盘,并将配置添加到预先保存的项目中。
4、让代码更具可读性
自动打印代码格式,包括JSON、JavaScript、CSS、HTML和XML。
5、轻松修复扫描结果
使用聚合的应用程序数据查看每个错误的来源、发现、内容和补救措施。
6、简化扫描报告
使用HTML/XML格式进行自定义。报告所有已识别的证据,包括问题详细信息。
7、加快数据转换
使用多种内置操作(例如Hex、Octal、Base64)对数据进行解码或编码。
五、扩展
PortSwigger BApp商店
1、创建自定义扩展
Extender API确保通用的适应性。编写自定义扩展以使Burp为您工作。
2、记录器++
对于深入的漏洞详细信息,在易于访问的表中排序和排列,请使用Logger++。
3、授权
在测试授权漏洞时,使用Autorize节省时间并执行重复请求。
4、涡轮入侵者
Turbo Intruder使用Python配置,具有自定义HTTP堆栈,每秒可以释放数千个请求。
5、J2EE扫描
使用J2EEScan扩展您的Java特定漏洞目录并寻找最合适的漏洞。
6、访问扩展库
BApp Store自定义和扩展功能。超过250个扩展,由Burp用户编写和测试。
7、上传扫描仪
通过Upload Scanner上传和测试多个文件类型的有效负载来适应Burp Scanner的攻击。
8、授权矩阵
使用Autorize运行AuthMatrix以定义您的访问级别漏洞授权检查。
9、参数矿工
使用Param Miner快速查找未键入的输入-每秒最多可以猜测65,000个参数名称。
10、反斜杠驱动扫描仪
使用Backslash Powered Scanner查找研究级错误,并连接人类直觉和自动化。