Burp Suite
Burp Suite 是什么?
Burp SuitePortSwigger 推出的 Web 应用拦截代理与测试工具集,用于发现、篡改并利用 HTTP 与 HTTPS 应用中的漏洞。
Burp Suite 是由 Dafydd Stuttard 创立、由 PortSwigger 开发的 Web 应用安全测试平台,已成为业界标准。它整合了拦截代理、Repeater、Intruder、Decoder、扫描器以及扩展 API(BApp),广泛被应用安全工程师、漏洞赏金猎人和渗透测试人员使用。Burp 提供免费的 Community 版本以及商用的 Professional 与 Enterprise 版本;Professional 版包含主动漏洞扫描器,是众多 AppSec 工作流的核心。仅在已获得明确书面授权(例如渗透测试合同中定义的范围或漏洞赏金计划)的系统上使用才合法。
● 示例
- 01
在 Repeater 中篡改 JWT,验证授权绕过漏洞。
- 02
使用 Intruder 加载 payload 列表,对搜索参数测试 SQL 注入。
● 常见问题
Burp Suite 是什么?
PortSwigger 推出的 Web 应用拦截代理与测试工具集,用于发现、篡改并利用 HTTP 与 HTTPS 应用中的漏洞。 它属于网络安全的 防御与运营 分类。
Burp Suite 是什么意思?
PortSwigger 推出的 Web 应用拦截代理与测试工具集,用于发现、篡改并利用 HTTP 与 HTTPS 应用中的漏洞。
Burp Suite 是如何工作的?
Burp Suite 是由 Dafydd Stuttard 创立、由 PortSwigger 开发的 Web 应用安全测试平台,已成为业界标准。它整合了拦截代理、Repeater、Intruder、Decoder、扫描器以及扩展 API(BApp),广泛被应用安全工程师、漏洞赏金猎人和渗透测试人员使用。Burp 提供免费的 Community 版本以及商用的 Professional 与 Enterprise 版本;Professional 版包含主动漏洞扫描器,是众多 AppSec 工作流的核心。仅在已获得明确书面授权(例如渗透测试合同中定义的范围或漏洞赏金计划)的系统上使用才合法。
如何防御 Burp Suite?
针对 Burp Suite 的防御通常结合技术控制与运营实践,详见上方完整定义。
Burp Suite 还有哪些其他名称?
常见的别称包括: Burp, BurpSuite。
● 相关术语
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- appsec№ 273
DAST(动态应用安全测试)
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
- compliance№ 781
OWASP Top 10
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
- attacks№ 1084
SQL 注入
一种代码注入攻击,将攻击者控制的 SQL 语句植入数据库查询,以读取、篡改或破坏数据。
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- roles№ 132
漏洞赏金猎人
独立的安全研究人员,通过漏洞赏金或协调披露计划向厂商报告漏洞,以换取金钱奖励与公开致谢。
● 参见
- № 577Kali Linux
- № 686mitmproxy