Burp Suite Pro 2020.9.1 Build 3995修改版

Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试，是web安全人员的一把必备的瑞士军刀。今天小编带来的是Burp Suite Pro 2020破解版，该软件是一个可靠实用的平台，可为您提供执行Web应用程序安全性测试的简单方法。 它提供了完全的控制权，使您可以将高级手动技术与各种工具无缝地结合在一起，以支持整个测试过程。 该实用程序易于使用且直观，不需要您执行高级操作即可分析，扫描和利用Web应用程序。 它是高度可配置的，并具有有用的功能来协助经验丰富的测试人员进行工作。主窗口显示了您可以选择的所有可用工具，并以所需的方式设置每个人的设置。设计与浏览器一起使用时，该应用程序充当HTTP代理，因此来自浏览器的所有HTTP/通信都通过该实用程序。这样，如果您要执行任何类型的测试，则需要配置浏览器以使用它。您需要做的第一件事就是确认该应用程序的代理侦听器处于活动状态。只需导航至“代理”选项卡，然后在“代理侦听器”部分中进行查看。您应该在表中看到一个条目，其中勾选了正在运行复选框。您需要做的第二件事是将浏览器配置为使用该应用程序的代理侦听器作为其HTTP代理服务器。最后，您需要将浏览器配置为能够通过应用程序发送HTTP请求而不会出现问题。前面提到的实用程序使您可以完全控制要执行的所有操作，并获得有关要测试的Web应用程序的详细信息和分析。使用入侵者，中继器，音序器和比较器等工具，您可以轻松地执行不同的操作。在Spider的帮助下，您可以对应用程序进行爬网以查找其内容和功能。您可以通过选择协议并指定主机名或IP范围来添加新范围。然后，该实用程序监视所有传输的字节和排队的请求。入侵者工具使您可以对Web应用程序进行攻击。只需设置主机名和端口号，定义一个或多个有效负载集即可。您还可以通过在“目标”选项卡中选中适当的框来使用HTTP协议。自动化测试任务的另一种工具称为Sequencer，它分析应用程序会话令牌中的随机性质量。首先，您需要加载至少100个令牌，然后捕获所有请求。总体而言，Burp Suite Free Edition可让您以一种明智的方式实现所需的一切。它可以帮助您在浏览Web应用程序时记录，分析或重放Web请求。

Burp Suite Pro 2020安装教程

注意：Burp Suite Pro 2020.9版本需要JDK9以上才能运行，否则会出现闪退情况。 需要使用Java9及以上版本
1、运行burploader.jar
2、运行（Run）”按钮。 程序激活窗口将打开然后全选把license复制到弹窗中，然后点击NEXT。使用数据激活程序（手动激活Manual activation）。

3、点击右边弹窗的copy request复制字符串粘贴到左边第二个框内
左边会第三个框会生成激活码，全选复制，到右边弹窗点击Paste Response粘贴进去，点击NEXT

4、对于使用加载程序启动程序，该程序将已经激活。

软件功能

一、Web漏洞扫描程序
1、涵盖了100多个通用漏洞，例如SQL注入和跨站点脚本（XSS），在OWASP前10名中的所有漏洞中均具有出色的性能。
2、Burp的尖端 Web应用程序搜寻器 准确地映射内容和功能，自动处理会话，状态更改，易失性内容和应用程序登录。
3、Burp Scanner包括一个完整的 JavaScript分析 引擎，该引擎结合了静态（SAST）和动态（DAST）技术，用于检测客户端JavaScript（例如基于DOM的跨站点脚本）中的安全漏洞。
4、Burp率先使用高度创新 的带外技术（OAST） 来增强传统的扫描模型。Burp Collaborator技术使Burp可以检测在应用程序外部行为中完全不可见的服务器端漏洞，甚至报告在扫描完成后异步触发的漏洞。
5、Burp Infiltrator技术可用于检测目标应用程序，以在其有效负载到达应用程序内的危险API时向Burp Scanner提供实时反馈，从而执行交互式应用程序安全测试（IAST）。
6、Burp的扫描逻辑会不断进行改进，以确保能够找到最新的漏洞和现有漏洞的新情况。近年来，Burp成为第一台检测Burp研究团队首创的新型漏洞的扫描仪，包括模板注入和Web缓存中毒。
7、所有报告的漏洞均包含详细的自定义建议。这些内容包括问题的完整说明以及逐步的修复建议。会针对每个问题动态生成建议性措词，并准确描述任何特殊功能或补救点。
二、先进的手动工具
1、使用Burp项目文件实时增量保存您的工作，并从上次中断的地方无缝接听。
2、使用配置库可以使用不同的设置快速启动目标扫描。
3、在Burp的中央仪表板上查看所有发现的漏洞的实时反馈。
4、将手动插入点放置 在请求中的任意位置，以通知扫描仪有关非标准输入和数据格式的信息。
5、浏览时 使用 实时扫描， 以完全控制针对哪些请求执行的操作。
6、Burp可以选择报告所有反映和存储的输入，即使尚未确认漏洞，也可以方便手动测试跨站点脚本之类的问题。
7、您可以导出发现的漏洞的格式精美的HTML报告。
8、CSRF PoC Generator函数可用于为给定请求生成概念验证跨站点请求伪造（CSRF）攻击。
9、内容发现功能可用于发现隐藏的内容和未与可浏览的可见内容链接的功能。
10、目标分析器功能可用于分析目标Web应用程序，并告诉您它包含多少个静态和动态URL，以及每个URL包含多少个参数。
11、Burp Intruder是用于自动化针对应用程序的自定义攻击的高级工具。它可以用于多种目的，以提高手动测试的速度和准确性。
12、入侵者捕获详细的攻击结果，并以表格形式清晰地显示有关每个请求和响应的所有相关信息。捕获的数据包括有效载荷值和位置，HTTP状态代码，响应计时器，cookie，重定向数以及任何已配置的grep或数据提取设置的结果。
三、基本手动工具
1、Burp Proxy允许手动测试人员拦截浏览器和目标应用程序之间的所有请求和响应，即使使用HTTPS时也是如此。
2、您可以查看，编辑或删除单个消息，以操纵应用程序的服务器端或客户端组件。
3、该代理历史记录所有请求和响应通过代理的全部细节。
4、您可以用注释和彩色突出显示来注释单个项目，以便标记有趣的项目，以便以后进行手动后续操作。
5、Burp Proxy可以对响应执行各种自动修改，以方便测试。例如，您可以取消隐藏隐藏的表单字段，启用禁用的表单字段并删除JavaScript表单验证。
6、您可以使用匹配和替换规则，将自定义修改自动应用于通过代理传递的请求和响应。您可以创建对消息标题和正文，请求参数或URL文件路径进行操作的规则。
7、Burp有助于消除拦截HTTPS连接时可能发生的浏览器安全警告。安装时，Burp会生成一个唯一的CA证书，您可以将其安装在浏览器中。然后，为您访问的每个域生成主机证书，并由受信任的CA证书签名。
8、Burp支持对非代理感知客户端的无形代理，从而可以测试非标准用户代理，例如胖客户端应用程序和某些移动应用程序。
9、HTML5 WebSockets消息以与常规HTTP消息相同的方式被拦截并记录到单独的历史记录中。
10、您可以配置细粒度的拦截规则，以精确控制要拦截的消息，从而使您可以专注于最有趣的交互。
11、该目标站点地图显示所有已在网站被发现被测试的内容。内容以树形视图显示，该视图与站点的URL结构相对应。在树中选择分支或节点将显示单个项目的列表，并在需要时提供完整的详细信息，包括请求和响应。
12、所有请求和响应都显示在功能丰富的HTTP消息编辑器中。这提供了对基础消息的大量视图，以帮助分析和修改其内容。
13、可以在Burp工具之间轻松发送单独的请求和响应，以支持各种手动测试工作流程。
14、使用Repeater工具，您可以手动编辑和重新发出单个请求，以及完整的请求和响应历史记录。
15、Sequencer工具用于使用标准密码测试的随机性对会话令牌进行统计分析
16、解码器工具使您可以在现代网络上使用的常见编码方案和格式之间转换数据。
17、Clickbandit工具针对易受攻击的应用程序功能生成有效的Clickjacking攻击。
18、比较器工具在成对的请求和响应或其他有趣的数据之间执行视觉区别。
19、您可以创建自定义会话处理规则来处理特定情况。会话处理规则可以自动登录，检测和恢复无效的会话以及获取有效的CSRF令牌。
20、强大的Burp Extender API允许扩展自定义Burp的行为并与其他工具集成。Burp扩展的常见用例包括即时修改HTTP请求和响应，自定义Burp UI，添加自定义扫描程序检查以及访问关键的运行时信息，包括爬网和扫描结果。
21、该BAPP商店是贡献的爆发式的用户社区随时可以使用扩展的存储库。只需在Burp UI中单击即可安装这些工具。

软件特色

1、强大的应用程序可以测试网站的安全性
2、执行各种测试工具以衡量网站的渗透率
3、进行不同的测试，找出网站的任何缺陷
4、执行基本分析功能以发现任何类型的漏洞
5、测试时获得最佳性能和准确结果
6、优先考虑漏洞并检查漏洞
7、带有各种自定义的适当建议
8、使用著名的Brat Force方法的全面解决方案
9、执行各种实验和各种工具来测试网络安全
10、支持按页面爬行网站
11、中继器工具，用于重复请求
12、可自定义的设置和增强的工作流程
13、支持HTTP和HTTPs分析
14、使用Brat Force方法执行不同类型的分析
15、处理Web应用程序安全性的不同技术
16、使用工作流程生成详细的报告功能