内容导航
  • Burp Suite Editions
产品标签
二维码

Burp Suite Editions

领先的Web安全测试工具

以下是 "Burp Suite Editions",如果您需要了解更多信息,您可以联系我们。

Web漏洞扫描-企业版/专业版

  • 覆盖了100多个通用漏洞,如SQL注入和跨站点脚本(XSS),对OWASP前10名中的所有漏洞都有很好的性能

ImageImage



  • Burp的尖端web应用程序爬虫精确地映射内容和功能,自动处理会话、状态更改、易失性内容和应用程序登录

Image


  • Burp Scanner包含一个完整的JavaScript analysis引擎,使用静态(SAST)和动态(DAST)技术的组合来检测客户端JavaScript中的安全漏洞,例如基于DOM的跨站点脚本
  • Burp 率先使用高度创新的带外技术(oast)来增强传统的扫描模型。Burp Collaborator 技术允许Burp检测在应用程序的外部行为中完全不可见的服务器端漏洞,甚至可以报告扫描完成后异步触发的漏洞

Image

Image

Image

Image


  • Burp 渗透技术可用于执行交互式应用程序安全测试(IAST),方法是检测目标应用程序,以便在其有效负载到达应用程序内的危险API时向Burp扫描程序提供实时反馈

Image


  • Burp的扫描逻辑不断更新,并进行了增强,以确保能够找到最新的漏洞和现有漏洞的新边缘案例。近年来,Burp已经成为第一个检测Burp研究团队开创的新漏洞的扫描器,包括模板注入和Web缓存中毒

Image


  • 所有报告的漏洞都包含详细的自定义警告。其中包括对问题的完整描述,以及逐步的补救建议。为每个单独的问题动态生成咨询措辞,并准确描述任何特殊功能或补救点

计划和重复扫描-企业版

  • Burp Suite Enterprise Edition可以在特定时间执行计划扫描,也可以根据需要执行一次性扫描
  • 可以将重复扫描配置为无限期运行或运行到定义的端点
  • 您可以在一个地方查看给定网站的整个扫描历史记录

Image


CI integration-企业版

  • 使用Burp的CI集成在开发生命周期中推进安全自动化
  • 通过REST API从您的CI系统自动启动漏洞扫描
  • 有现成的本地CI插件,可用于Jenkins和TeamCity等流行平台,还有一个通用的CI驱动程序,可以轻松地安装在任何CI系统中
  • 可以按计划或作为部署管道的一部分运行每次提交的扫描
  • CI集成可以配置为根据发现的问题的严重性来中断软件构建Image

高级手动工具专家

  • 使用Burp项目文件以增量方式实时保存您的工作,并无缝地从您停止的地方开始
  • 使用配置库快速启动具有不同设置的目标扫描
  • 查看Burp中央仪表板上所有已发现漏洞的实时反馈

Image


  • 在请求中的任意位置放置手动插入点,以通知扫描仪有关非标准输入和数据格式的信息
  • 在浏览时使用实时扫描来完全控制对哪些请求执行的操作
  • Burp可以有选择地报告所有反映和存储的输入,即使在没有确认漏洞的情况下,也可以帮助手动测试跨站点脚本等问题
  • 您可以导出已发现漏洞的格式优美的HTML报告

Image


  •  CSRF PoC Generator函数可用于为给定请求生成概念证明跨站点请求伪造(CSRF)攻击

Image


  • 内容发现功能可用于发现隐藏的内容和未链接到可浏览的可见内容的功能
  • Target Analyzer 函数可用于分析目标Web应用程序,并告诉您它包含多少静态和动态URL,以及每个URL需要多少参数

Image


  • Burp Intruder是一种高级工具,用于自动化针对应用程序的自定义攻击。它可以用于许多目的,以提高手动测试的速度和精度
  • 入侵者捕获详细的攻击结果,每个请求和响应的所有相关信息都以表格形式清楚地显示出来。捕获的数据包括有效负载值和位置、HTTP状态代码、响应计时器、cookies、重定向数以及任何配置的GREP或数据提取设置的结果

Image

基本手动工具-专业版/共享版

  • Burp Proxy允许手动测试人员拦截浏览器和目标应用程序之间的所有请求和响应,即使使用了HTTPS
  • 您可以查看、编辑或删除单个消息以操作应用程序的服务器端或客户端组件

Image


  • 代理历史记录记录通过代理的所有请求和响应的完整详细信息
  • 您可以使用注释和彩色突出显示来注释单个项目,以便您标记感兴趣的项目以供以后手动跟踪
  • Burp Proxy 可以对响应执行各种自动修改,以便于测试。例如,可以取消隐藏/隐藏的表单字段、启用禁用的表单字段和删除JavaScript表单验证
  • 可以使用匹配和替换规则自动将自定义修改应用于通过代理传递的请求和响应。您可以创建对消息头和正文、请求参数或URL文件路径进行操作的规则

Image


  • Burp 有助于消除拦截HTTPS连接时可能出现的浏览器安全警告。安装时,Burp生成一个唯一的CA证书,您可以在浏览器中安装它。然后为您访问的每个域生成由受信任的ca证书签名的主机证书
  • Burp支持对非代理感知的客户端进行不可见的代理,从而能够测试非标准用户代理,如活跃的客户端应用程序和一些移动应用程序
  • HTML5 WebSockets 消息被截获并记录到一个单独的历史记录中,与常规HTTP消息的方式相同
  • 您可以配置细粒度的截取规则,精确地控制截取哪些消息,让您能够专注于最有趣的相互影响
  • 目标站点地图显示正在测试的站点中发现的所有内容。内容以树视图的形式显示,树视图对应于站点的URL结构。在树中选择分支或节点将显示单个项的列表,其中包含所有详细信息,包括可用的请求和响应

Image


  • 所有请求和响应都显示在功能丰富的HTTP消息编辑器中。这为底层消息提供了许多视图,以帮助分析和修改其内容
  • 可以在Burp工具之间轻松发送单个请求和响应,以支持各种手动测试工作流
  • Repeater工具允许您手动编辑和重新发出单个请求,并提供请求和响应的完整历史记录
  • The Sequencer 工具用于使用标准的随机加密测试对会话令牌进行统计分析

Image


  • 解码器工具允许您在通用编码方案和现代Web上使用的格式之间转换数据
  • ClickBandit工具针对易受攻击的应用程序功能生成有效的点击劫持攻击
  • Comparer工具在请求和响应或其他感兴趣的数据对之间执行可视差异
  • 您可以创建自定义会话处理规则来处理特定情况。会话处理规则可以自动登录、检测和恢复无效会话,以及获取有效的CSRF令牌

Image


  • 强大的Burp Extender API允许扩展自定义burp的行为并与其他工具集成。Burp扩展的常见用例包括动态修改HTTP请求和响应、自定义 Burp UI、添加自定义扫描程序检查以及访问关键运行时信息(包括爬网和扫描结果)。
  • BApp Store是由Burp用户社区提供的现成扩展的存储库。只需在Burp用户界面中单击一下就可以安装它们

Image