現(xiàn)代網(wǎng)絡(luò)越來(lái)越復(fù)雜。每年都會(huì)出現(xiàn)新的框架、技術(shù)和設(shè)計(jì)趨勢(shì)，更不用說(shuō)漏洞了。所有這些困難，都增加了您的測(cè)試工作量。這也使得 AppSec 對(duì)于初學(xué)者來(lái)說(shuō)比較困難，因?yàn)樗麄內(nèi)狈υ诤?jiǎn)單時(shí)代操作的經(jīng)驗(yàn)。但借助Burp Suite Professional，可以幫助更快修復(fù)漏洞，同時(shí)節(jié)省您的上手時(shí)間。

Burp Suite 最新版下載

Burp Suite Pro 如何幫助您測(cè)試現(xiàn)代網(wǎng)絡(luò)

Burp Suite Professional 在處理現(xiàn)代 Web 應(yīng)用程序時(shí)可以通過(guò)多種方式讓測(cè)試人員的工作變得更加輕松，以下是我們最近推出的三個(gè)主要功能：

測(cè)試 HTTP/2

現(xiàn)在談?wù)?Burp Suite 的功能集時(shí)，不提及 HTTP/2 測(cè)試 。到目前為止，HTTP/2 的攻擊面幾乎沒(méi)有被審計(jì)過(guò) - 因?yàn)橥耆狈θ魏魏线m的工具 ;

我們現(xiàn)在添加了許多與PortSwigger Research共同開(kāi)發(fā)的便捷的手動(dòng) HTTP/2 測(cè)試功能。其中包括執(zhí)行我們首創(chuàng)的 HTTP/2 獨(dú)占攻擊的能力，這些攻擊無(wú)法使用 HTTP/1 來(lái)表示。當(dāng)然，Burp Scanner現(xiàn)在能夠自動(dòng)執(zhí)行這些攻擊。

掃描 API 端點(diǎn)

單頁(yè)應(yīng)用程序 (SPA) 的興起與對(duì) API 和微服務(wù)的日益依賴相伴而生，而這又創(chuàng)造了大量新的攻擊面。為了說(shuō)明這一點(diǎn)，Okta 最近引用了 Gartner 的預(yù)測(cè)，API 濫用將成為最常見(jiàn)的攻擊媒介，導(dǎo)致企業(yè)應(yīng)用程序數(shù)據(jù)泄露。

Burp Scanner已具備掃描 API 安全漏洞的能力-自動(dòng)解析以 JSON 編寫(xiě)的 OpenAPI v3 REST API 定義。這通常可以揭示傳統(tǒng)掃描器可能遺漏的攻擊面。API掃描功能將與 Burp Scanner 的JavaScript 掃描功能一起不斷增強(qiáng)，并且隨著掃描器的進(jìn)一步開(kāi)發(fā)，它將大大增強(qiáng)掃描器本身的功能。

突破復(fù)雜性

Burp Suite Professional 的嵌入式 Chromium 瀏覽器的推出對(duì)測(cè)試工作流程具有革命性意義 - 為許多新功能奠定了基礎(chǔ)。基于嵌入式瀏覽器構(gòu)建的功能包括DOM Invader、經(jīng)過(guò)身份驗(yàn)證的掃描和JavaScript 掃描- 未來(lái)還會(huì)有更多功能。

除此之外，嵌入式瀏覽器還為 Burp Suite 用戶提供了快速簡(jiǎn)便的開(kāi)箱即用設(shè)置。只需打開(kāi)嵌入式瀏覽器即可立即開(kāi)始代理流量（包括 HTTPS）。所有必要的代理偵聽(tīng)器設(shè)置都會(huì)自動(dòng)調(diào)整，無(wú)需手動(dòng)安裝 CA 證書(shū)。

Burp Suite Professional 功能

• 爬蟲(chóng)- Burp Suite 2.0 的爬蟲(chóng)取代了 Burp 1.x 過(guò)時(shí)的 Spider，徹底改變了現(xiàn)代網(wǎng)絡(luò)測(cè)試的格局。這為 JS 掃描鋪平了道路。
• API 掃描- （如上所述）Burp Scanner 現(xiàn)在可以自動(dòng)解析許多 API 定義。這在測(cè)試基于微服務(wù)的應(yīng)用程序時(shí)非常有用。
• 經(jīng)過(guò)身份驗(yàn)證的掃描- （如上所述）使用 Burp Suite Pro 的嵌入式 Chromium 瀏覽器記錄復(fù)雜的登錄，并掃描許多現(xiàn)代網(wǎng)絡(luò)應(yīng)用程序的特權(quán)區(qū)域。
• JavaScript 掃描- （如上所述）Burp Suite 的嵌入式瀏覽器使其具有執(zhí)行和掃描 JavaScript的能力- 從而減少了 SPA 的復(fù)雜性。
• 新的漏洞類別和掃描檢查- 隨時(shí)了解 PortSwigger Research 的最新漏洞 - 包括HTTP/2 獨(dú)有的威脅。
• 并行掃描-同時(shí)掃描目標(biāo)的多個(gè)區(qū)域- 如果需要，可以獨(dú)立設(shè)置掃描配置和優(yōu)先級(jí)。
• 改進(jìn)的資源管理- 我們引入了許多功能來(lái)幫助您管理 Burp 的系統(tǒng)資源使用并對(duì)其進(jìn)行微調(diào)以適合您的機(jī)器。
• 掃描配置庫(kù)-管理您自己的掃描類型庫(kù)以供在不同情況下使用 - 包括自定義配置。
• 自動(dòng)化任務(wù)的儀表板視圖-儀表板選項(xiàng)卡為您提供了一個(gè)可以監(jiān)視、控制、暫停和重新排序 Burp Suite Pro 自動(dòng)化活動(dòng)的地方。
• 合并站點(diǎn)范圍內(nèi)的被動(dòng)問(wèn)題- Burp Scanner 現(xiàn)在將默認(rèn)合并廣泛被動(dòng)檢測(cè)到的問(wèn)題- 使其更易于評(píng)估。

下載最新版本的 Burp Suite Professional以訪問(wèn)所有這些功能及更多功能。

DOM Invader 使用 Burp Suite 的嵌入式 Chromium 瀏覽器使 DOM XSS 測(cè)試變得更加容易。

手動(dòng)功能可幫助您更快地進(jìn)行測(cè)試

• 嵌入式瀏覽器- 在 Burp 中嵌入 Chromium 啟用了本文中的許多功能。它還使初學(xué)者的工作變得更加輕松 - 因?yàn)樵谕ㄟ^(guò)嵌入式瀏覽器代理流量之前無(wú)需進(jìn)行任何配置。
• HTTP/2 功能- （如上所述）我們添加了豐富的功能來(lái)幫助您測(cè)試 HTTP/2 漏洞 - 包括輕松“攔截”請(qǐng)求的能力。
• DOM Invader -（如上所述）與 PortSwigger Research 密切合作設(shè)計(jì)，DOM Invader使用 Burp 的嵌入式瀏覽器使DOM XSS更容易被找到。
• 記錄器- 應(yīng)大眾需求，Burp Suite 的桌面版現(xiàn)在包含本機(jī)日志記錄功能- 為您提供所有 Burp 生成的 HTTP 流量的記錄。
• WebSocket 消息-攔截和編輯 WebSocket 消息- 包括重新配置用于創(chuàng)建 WebSocket 的協(xié)商請(qǐng)求的能力。
• 將 Intruder 攻擊保存在項(xiàng)目文件中- 您現(xiàn)在可以將使用 Burp Intruder 發(fā)起的攻擊保存到項(xiàng)目文件中。在處理大型項(xiàng)目時(shí)，這非常方便。
• 消息檢查器-檢查器使消息編輯器可以訪問(wèn)許多 Burp Suite 功能，而無(wú)需切換選項(xiàng)卡。它包括自動(dòng)解碼等有用功能。

Burp Suite Professional 其他功能

• 進(jìn)一步的 SPA 掃描功能- 通過(guò)自動(dòng)審核使用 XHR 或 Fetch 發(fā)出的范圍內(nèi)的 API 請(qǐng)求，Burp Scanner 將利用更多的 SPA 攻擊面。
• 新的 SSTI 掃描檢查- 使用 Burp Scanner 檢測(cè)更廣泛的模板引擎中的服務(wù)器端模板注入（SSTI） ，并使用OAST檢查盲 SSTI 。
• 更多針對(duì) HTTP/2 的手動(dòng)測(cè)試功能- 包括 Burp Repeater、Extender 和 Inspector 中的額外支持。更有效地測(cè)試 HTTP/2。
• Burp Scanner 速度增強(qiáng)- 對(duì) Burp Scanner 的默認(rèn)設(shè)置進(jìn)行微調(diào)，以實(shí)現(xiàn)更快的掃描而不影響覆蓋范圍。
• 數(shù)據(jù)格式內(nèi)的有效負(fù)載- 進(jìn)行 API 調(diào)用時(shí)，JSON 和 XML 中的 Burp Scanner 有效負(fù)載的放置和編碼將得到改進(jìn) - 從而增強(qiáng)可靠性。
• 檢查器改進(jìn)- 根據(jù)與 Burp Suite 用戶的討論，將開(kāi)發(fā)消息檢查器以進(jìn)一步提高手動(dòng)測(cè)試的效率。
• 消息編輯器改進(jìn)- 再次根據(jù) Burp Suite 用戶社區(qū)的反饋，我們將尋求微調(diào)消息編輯器的可用性。
• 記錄器改進(jìn)- 包括將日志導(dǎo)出為 CSV 文件以供外部使用的能力。

Burp Suite Professional 用戶界面已經(jīng)進(jìn)行了徹底改造 - 現(xiàn)在包括暗模式等功能。

Burp Suite Professional 強(qiáng)調(diào)其最重要的特點(diǎn)是用戶本身，而非可自動(dòng)化的功能。為了幫助用戶更好地使用，Burp Suite推出了新的“Learn”標(biāo)簽、改進(jìn)了界面設(shè)計(jì)，并提供了一系列視頻教程和入門(mén)指南，尤其針對(duì)新用戶。慧都提供Burp Suite 免費(fèi)試用、正版授權(quán)、最新下載等支持，如您有需要，歡迎咨詢?cè)诰€客服獲取喲~