BurpSuite專業免費版 v2.1 中文特別版

軟件介紹

BurpSuite免費版是一款功能非常強大的安全檢測工具，隨著互聯網的壯大發展，網絡安全逐漸成為首要指標，用戶絕大多數的新聞都是通過網絡傳輸，BurpSuite能夠幫助用戶檢查網絡的方方面面，綠色安全上網，防止釣魚網站、不良信息的導入植入等。

軟件特色

1、基于前一版本的反饋，Burp的項目修復功能已得到進一步增強。我們歡迎任何有關無法從損壞的Burp項目文件中恢復數據的情況的進一步反饋。

2、已應用了一個修復程序來防止Burp的篩選器彈出窗口出現在某些Linux窗口管理器的任務切換器中。

3、遺憾的是，1.7.34中添加的SSL驗證的強化對于通過網絡代理訪問Web的某些用戶來說無法正常工作。

4、這會影響Collaborator輪詢，Burp更新和BApp Store。

5、具有已配置上游代理且已更新至1.7.34且遇到此問題的用戶將不會收到此版本的更新通知。

6、這些用戶需要（a）臨時刪除上游代理配置; 或（b）運行較舊版本的Burp以獲取更新。

軟件功能

1、軟件的不同之處

擁有40,000多名用戶，是世界上使用最廣泛的Web漏洞掃描程序。安全專業人員，組織和開發團隊都依靠PortSwigger使他們具有最新的漏洞意識。我們的掃描儀反映了這一點-并從正面引領市場。

一個很好的例子就是我們突破性的OAST（帶外應用程序安全性測試）技術。在推出時，此功能使軟件能夠看到其他掃描儀完全看不見的錯誤。我們相信PortSwigger的研究是首屈一指的-軟件的成功證明了這一點。

2、您的盟友，每一個漏洞都很重要

剛開始時，您一直在尋找更高效的工作流程。更詳盡 更可靠。而且，作為世界上使用最廣泛的筆測軟件的創作者，PortSwigger一直在尋找新的方法來幫助您做到這一點。

我們熱愛改變行業，開創性的研究已成為我們的標志。反過來，我們通常會構思出全新的攻擊技術-然后將這些技術置于用戶容易范圍之內。當然，眾所周知的弱點不會被忽略，并且軟件可用于測試整個OWASP Top 10，從SQL注入到跨站點腳本（XSS）等。

3、智能自動化，就在您需要的地方

我們的理念是應將您寶貴的手動測試時間節省下來，以備不時之需?？紤]到這一點，軟件包含許多強大的自動化功能。最明顯的是Web漏洞掃描程序，但Burp Intruder和我們創新的爬蟲等工具也將為您提供速度和效率方面的巨大優勢。

自動化應始終盡可能智能。這就是為什么軟件中的每個自動筆測工具都允許進行進一步配置的原因。在隱身至關重要的情況下，或者遇到不尋常的目標應用程序時，這特別有用。

4、測試每種類型的應用程序

軟件可以讓用戶攻擊和測試任何類型的Web應用程序或端點。例如，Mobile Assistant使測試iOS應用程序極其簡單。Android設備也可以配置為與Burp配合使用，使其成為移動應用程序安全測試的強大平臺。

在其他情況下，我們創建了全新的滲透測試軟件來利用漏洞。Burp Collaborator就是一個很好的例子-它是市場上第一個允許進行帶外應用程序安全測試（OAST）的工具。在這里，Burp通過與聯盟的外部服務器“協作”揭示了許多以前盲目的漏洞。

5、潛力無限的測試工具

幾年前，Burp最初是一個相對簡單的攔截代理。如今，它不斷取得成功，已成長為包括一整套滲透測試工具，漏洞賞金狩獵工具以及其他道德黑客工具。但是故事還沒有結束。

BApp商店現在提供數百種精選的開源軟件擴展。其中許多工具（例如反斜杠掃描儀或Param Miner）均基于PortSwigger的研究。其他人來自我們寶貴的用戶社區。無論您想添加什么功能，只要您能想到，Burp都能做到。

6、業界最受歡迎的工具

本軟件在130多個國家/地區擁有40,000多名用戶。這使其成為用于Web安全測試的世界上使用最廣泛的工具箱。

這不是偶然發生的。眾所周知，我們的工具是用戶知識的倍增器。

當然，我們會這樣說。但是，請看一下我們的憑據。我們的軟件可以保護許多世界上最強大的組織

7、Target(目標)

顯示目標目錄結構的的一個功能。

8、Proxy(代理)

攔截HTTP/S的代理服務器，作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數據流。

9、Spider(蜘蛛)

應用智能感應的網絡爬蟲，它能完整的枚舉應用程序的內容和功能。

10、Scanner(掃描器)

高級工具，執行后，它能自動地發現web 應用程序的安全漏洞。

11、Intruder(入侵)

一個定制的高度可配置的工具，對web應用程序進行自動化攻擊，如：枚舉標識符，收集有用的數據，以及使用fuzzing 技術探測常規漏洞。

12、Repeater(中繼器)

一個靠手動操作來觸發單獨的HTTP 請求，并分析應用程序響應的工具。

13、Sequencer(會話)

用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。

14、Decoder(解碼器)

進行手動執行或對應用程序數據者智能解碼編碼的工具。

15、Comparer(對比)

通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。

16、Extender(擴展)

可以讓你加載軟件的擴展，使用你自己的或第三方代碼來擴展Burp Suit的功能。

17、Options(設置)

對軟件的一些設置。

BurpSuite免費版怎么用

1、首先需要安裝一個java環境。

2、然后需要下載好一個burpsuite的軟件，如果是jar包就用java -jar 打開就可以了。

3、如果要使用代理的話，可以使用fillder導流或者進行設置代理。

4、我們先點擊這里就可以對訪問的流量進行一個攔截。

5、使用瀏覽器對網址進行訪問。

6、點擊這里就可以讓攔截的包發送出去。

BurpSuite免費版怎么設置代理

1、打開Burp suite選擇Proxy->options默認代理設置為127.0.0.1:8080不需要進行更改。

2、在瀏覽器輸入chrome://settings/，選擇高級下拉菜單框，點擊打開代理設置彈出IE瀏覽器代理設置頁面。

3、點擊IE瀏覽器 連接->選擇局域網設置。

4、在代理服務器地址輸入跟127.0.0.1端口與Burp suite一樣8080端口點擊確認。

5、在瀏覽器輸入http://burp可以看到burp suite的界面。

6、在Proxy中Intercept選項卡，開啟攔截功能“Interception is on”狀態，如果顯示為“Intercept is off”則點擊它，打開攔截功能。

7、訪問本地搭建的sqli-labs網頁，查看Burp Suite抓取到的流量。

BurpSuite免費版怎么爆破驗證碼

1、首先要安裝java JDK，然后安裝burp suite軟件，打開工具包中的Burpsuite文件夾，該文件夾里有兩個jar包，雙擊打開BurpLoader.jar

2、打開后點擊I Accept，next后點擊Start Burp

3、然后需要，配置Burp 代理

依次點擊Proxy —> Options —> add —> Binding —>設置端口和IP —> OK

IP設置為本機回環IP（127.0.0.1），端口設置為8080

4、然后打開Burp已經有默認的代理127.0.0.1:8080，勾選即可用。

5、配置瀏覽器的代理，這里以firefox為例，其它瀏覽器類似。

打開firefox —> 打開菜單 —> 選項

然后高級—— > 設置

6、選擇 手動配置代理 —> 設置代理IP 127.0.0.1 —> 端口8080 —> 選中 為所有協議使用相同代理 —> 確定

7、以上設置完成后，就可以進行抓包爆破了。

首先進行抓包，Proxy —> Intercept —Intercept is off/on

這里：Intercept is off代表不抓包，Intercept is on抓包。

設置Intercept is on時，點擊需要抓取包的頁面，就可以抓取請求包

8、以下以抓取weblogic登錄時的請求包為例講解。

輸入用戶名和密碼 —> 設置Intercept is on —> 點擊登錄 —> 抓包成功

9、如果抓取登錄的請求包后并且用戶名和密碼都是明文的話，便可進行爆破。

10、接下來，爆破操作步驟如下：

Action —> Sent to Intruder

11、Intruder —> Positions

12、單擊Clear ，然后分別 選中admin —> Add

選中123456 —> Add

13、選擇爆破模式：Cluster bomb

14、在彈出的對話框中，添加用戶名字典和密碼字典，然后點擊 Payloads

15、當然你也可以寫好一個txt文件，導入即可。

16、執行爆破：點擊Start attack

17、結果查看，通過Length來判斷爆破是否成功。比如下圖中，可見Length列為6928，其它都為5431。

那么可以根據這個長度判斷出，爆破出的用戶名是admin密碼是axis2。

爆破成功的用戶名和密碼返回長度與失敗的返回長度差異很大。