• Burp Suite专业版

    Burp Suite Professional是Web安全测试人员的首选工具包。使用它来自动执行重复的测试任务 - 然后使用其专家设计的手动和半自动安全测试工具进行更深入的挖掘。Burp Suite Professional可以帮助您测试OWASP十大漏洞以及新的黑客技术。

     

     

     

    产品优势

    更快地发现更多的漏洞


    01

    自动化并节省时间

    智能自动化与专家设计的手动工具协同工作,为您节省时间。优化您的工作流程,并做更多您擅长的事情。

    02

    全面了解您的企业安全状况

    Burp Scanner旨在测试功能丰富的现代Web应用程序。扫描JavaScript、测试API并记录复杂的身份验证序列。

    03

    减少误报

    超可靠的带外应用程序安全测试 (OAST)可以发现许多其他不可见的漏洞。Burp Suite Professional让这一切变得简单。

     

     

    像专业人士一样进行测试


    01

    发现其他人无法找到的漏洞

    突破网络安全测试的界限——首先从PortSwigger Research的工作中受益。频繁发布让您保持领先地位。

    02

    测试时更高效

    受益于由专业测试人员设计和使用的工具包。项目文件等生产力功能 - 以及强大的搜索功能 - 提高了效率和可靠性。

    03

    与需要的人分享发现

    简化文档和补救过程,并生成用户想要使用的报告。良好的安全测试不会在发现时结束。

     

     

    拓展您的能力


    01

    调整您的工具包以满足您的需求

    作为Burp Suite Professional庞大的全球用户社区的成员,您可以获得丰富的建议和数百个预先编写的BApp扩展。

    02

    创建自己的功能

    强大的API让您可以访问核心Burp Suite Professional功能。使用它来创建您自己的扩展 - 并与现有工具集成。

    03

    自定义您的工作方式

    无论您是希望在暗模式下工作还是想使用自定义扫描配置,我们都能满足您的需求。Burp Suite Professional是为定制而设计的。

     

     

    产品功能

    手动渗透测试功能


    01

    拦截浏览器看到的所有内容

    强大的代理/历史记录可让您修改通过浏览器的所有HTTP(S) 通信。

    02

    管理侦查数据

    所有目标数据都汇总并存储在目标站点地图中 - 具有过滤和注释功能。

    03

    暴露隐藏的攻击面

    使用针对“不可见”内容的高级自动发现功能查找隐藏目标功能。

    04

    测试点击劫持攻击

    使用专业工具为潜在易受攻击的网页生成并确认点击劫持攻击。

    05

    使用WebSocket

    WebSockets消息有自己的特定历史记录 - 允许您查看和修改它们。

    06

    有效破解HTTPS

    代理甚至可以保护 HTTPS 流量。安装您的唯一 CA 证书会删除相关的浏览器安全警告。

    07

    手动测试带外漏洞

    在手动测试期间使用专用客户端来整合Burp Suite的带外 (OAST) 功能。

    08

    加快细化工作流程

    在单个窗口内修改和重新发出单个HTTP和WebSocket消息,并分析响应。

    09

    快速评估您的目标

    确定目标应用程序的大小。静态和动态URL以及URL参数的自动枚举。

    10

    评估令牌强度

    轻松测试旨在不可预测的数据项(例如令牌)中的随机性质量。

     

     

     

    高级/自定义自动攻击


    01

    更快的暴力破解和模糊测试

    部署包含多个有效负载集的自定义HTTP请求序列。从根本上减少花在许多任务上的时间。

    02

    查询自动攻击结果

    在自定义表格中捕获自动结果,然后过滤和注释以找到有趣的条目/改进后续攻击。

    03

    构建CSRF漏洞利用

    轻松生成CSRF概念验证攻击。选择任何合适的请求来生成漏洞利用HTML。

    04

    促进更深入的手动测试

    即使没有确认错误,也可以查看反映/存储的输入。促进对XSS等问题的测试。

    05

    浏览时扫描

    被动扫描您发出的每个请求或对特定URL执行主动扫描的选项。

    06

    自动修改HTTP消息

    自动修改响应的设置。匹配和替换响应和请求的规则。

     

     

    自动扫描漏洞


    01

    利用开创性的 AST 技术

    高信号:低噪音。使用开创性、无摩擦、带外应用程序安全测试 (OAST) 进行扫描。

    02

    征服客户端攻击面

    混合AST和内置JavaScript分析引擎有助于发现客户端攻击面中的漏洞。

    03

    通过研究推动漏洞覆盖

    PortSwigger Research的尖端扫描逻辑与100多个通用错误的覆盖范围相结合。

    04

    微调扫描控制

    使用用户驱动的扫描方法获得细粒度控制。或者,运行“点击式”扫描。

    05

    有效修复错误

    来自PortSwigger Research的每个错误的自定义描述和分步修复建议。

    06

    配置扫描行为

    自定义您审核的内容和方式。跳过特定检查、微调插入点等等。

    07

    导航困难的应用程序

    抓取更复杂的目标。Burp Suite的爬虫根据内容识别位置,而不仅仅是URL。

    08

    有效应用IAST

    使用可选的代码检测简化了源识别和漏洞报告。

    09

    体验浏览器驱动的扫描

    浏览器驱动的扫描已经朝着更好地覆盖棘手的目标迈进,比如重AJAX的单页应用程序。

     

     

    生产力工具


    01

    深入的消息分析

    在功能丰富的HTTP编辑器中显示跟进、分析、参考、发现和修复。

    02

    利用内置和自定义配置

    访问常见任务的预定义配置,或保存和重复使用自定义配置。

    03

    增加项目选项

    将所有工作项目自动保存到磁盘,并将配置添加到预先保存的项目中。

    04

    让代码更具可读性

    自动打印代码格式,包括JSON、JavaScript、CSS、HTML和XML。

    05

    轻松修复扫描结果

    使用聚合的应用程序数据查看每个错误的来源、发现、内容和补救措施。

    06

    简化扫描报告

    使用HTML/XML格式进行自定义。报告所有已识别的证据,包括问题详细信息。

    07

    加快数据转换

    使用多种内置操作(例如Hex、Octal、Base64)对数据进行解码或编码。

     

     

    拓展


    01

    创建自定义拓展

    Extender API确保通用的适应性。编写自定义扩展以使Burp为您工作。

    02

    记录器++

    对于深入的漏洞详细信息,在易于访问的表中排序和排列,请使用Logger++。

    03

    授权

    在测试授权漏洞时,使用Autorize节省时间并执行重复请求。

    04

    Turbo Intruder

    Turbo Intruder使用Python配置,具有自定义HTTP堆栈,每秒可以释放数千个请求。

    05

    J2EE扫描

    使用J2EEScan扩展您的Java特定漏洞目录并寻找合适的漏洞。

    06

    访问扩展库

    BApp Store自定义和扩展功能。超过250个扩展,由Burp用户编写和测试。

    07

    上传扫描仪

    通过Upload Scanner上传和测试多个文件类型的有效负载来适应Burp Scanner的攻击。

    08

    授权矩阵

    使用 Autorize运行AuthMatrix以定义您的访问级别漏洞授权检查。

    09

    Param Miner

    使用Param Miner快速查找未键入的输入- 每秒多可以猜测65,000个参数名称。

    10

    Backslash Powered Scanner

    使用Backslash Powered Scanner查找研究级错误,并连接人类直觉和自动化。