欢迎来到专业用户社区
因此,您已经下载了Burp Suite专业人士。现在怎么办?这是一个很大的软件,并且您可能不知道很多功能 - 即使您已经使用过Burp Suite Community Edition在过去。
我们希望帮助您从专业人士中获得最大收益,并向您展示其功能如何合并以帮助加快测试并改善测试。考虑到这一点,我们汇总了一个电源功能列表,建议您进行检查。所有这些都是Burp Suite Professional独有的 - 这是许多用户(62,000且计数)订阅它的重要组成部分。
Burp Suite的功能套件始终在增长。如果您想看看在不久的将来还可能会掉下来的东西(扰流板警报:它将很棒),请查看我们2022路线图。现在,事不宜迟,这里有一些我们最喜欢的Burp Suite专业专业功能:
1.项目文件
如何在Burp Suite Professional中保存项目。
以Burp Suite的“保存”功能领导这篇文章似乎有些奇怪,但请听我们说。Burp Suite专业项目文件比您乍一看更有用。
项目文件能够在参与度时节省您在Burp Suite专业人士中所做的一切。退出之前,您甚至不需要单击“保存”。好的 - 太好了 - 但是那有什么酷吗?
首先,显而易见。项目文件让您放心,您不会在某些奇怪的技术问题上失去一堆紧急测试工作。保存数据也使可怕的五项报告更容易编写。
此外,众所周知,成为五个五个人通常意味着要处理客户的要求。如果您愿意的话,请想象这个场景:
“哦 - 嘿 - 还记得您六个月前为我们所做的五旬堂吗?
好吧,实际上,有了Burp Suite专业项目文件,您可以。我们不会什么都不称其为“ Pro”。
2.全速打击入侵者
每当我们与客户谈论Burp Suite Professional时,您都可以确保Burp Intruder被标记为最喜欢的工具。这是一个真正的经典;只需选择要攻击的插入点,选择攻击类型并配置有效载荷列表要删除即可。然后使用入侵者的过滤工具从您的响应中收集有用的数据。
这种方法非常灵活。无论您是做像蛮力猜测网络目录条目一样简单的事情,还是狩猎更复杂的东西 - 喜欢beplay体育能用吗盲目注射- 伯普入侵者回来了。
入侵者运行迅速 - 这意味着它可以产生大量数据。因此,我们提供了功能,可帮助用户尽可能轻松地找到有趣的响应。拿提取grep例如,功能。设置后,入侵者将拔出您要寻找的任何内容,并在可排序的列中很好地为您安排。
如果您是入侵者的新手,您可能想查看我们的一个教程。学习如何使用入侵者蛮力登录机制, 或者列举子域。
3.免费的,专有的Bapp扩展
借助Burp Suite Professional,我们的目标是帮助我们的用户完善他们的安全测试工作流程 - 增强速度和可靠性。但五边形是一个巨大的主题,有许多专业领域。输入:BAPP商店 - 包含来自Burp庞大的用户社区的250多个免费策划的Burp Suite扩展名 - 包括beplay官网可以赌Portswigger的研究人员他们自己。
许多Bapps是Burp Suite Professional独有的。这些包括多年生的用户收藏夹后斜线驱动扫描仪(非常适合查找服务器端注射漏洞) 和参数矿工(找到隐藏的,未链接的参数,对于狩猎非常棒beplay体育能用吗网络缓存中毒漏洞) - 以及更多的情况扩展检测动态JS和nginx别名遍历。
查看BAPP商店,发现扩展名,这些扩展可以帮助您为您的特定用例提供微调Burp Suite Professional,无论您将参加哪个聚会。
4.搜索功能
如何在Burp Suite Professional中搜索。
Burp Suite Professional在社区版中的有用功能是其搜索功能。顾名思义,这使您能够快速搜索Burp Suite中打开的所有内容以获取特定参考。您可以将重点范围缩小到特定的Burp工具,通过Regex进行搜索,进行动态更新,等等。
虽然这听起来像是一个明显的功能,但我们已经失去了在测试过程中节省我们时间的次数。使用它快速搜索间歇性问题,敏感内容或您自己的特定输入重新铺面的地方。
更具体地说,在测试时,在Burp Suite专业人士中搜索的力量的一个很好的例子服务器端请求伪造(SSRF)并需要找到内部IP地址或主机名来创建成功的利用。能够快速搜索到处搜索的能力Burp Suite Pro为此非常出色,可以为您节省大量时间。
5. Burp合作者客户
如何使用Burp合作者客户端。
大多数测试人员知道Portswigger开创性beplay官网可以赌的自动化OAST测试当我们发布Burp合作者时。这个使打扫扫描仪能够快速执行(以前是棘手但非常可靠的)OAST测试方法,并以按钮的触摸。
但是您知道Burp Suite Professional是否也可以使手动OAST更加易于访问?Burp合作者客户端是这样的工具 -一系列高级漏洞更容易找到。
要么使用Burp Collaborator的公共服务器将Burp Suite专业检查直接出现在开箱即用的危险互动中,或者部署自己的私人合作服务器。无论哪种方式,BURP合作者客户端都可以使手动OAST测试更快,更容易。
6.内容发现
如何在Burp Suite Professional中使用内容发现。
内容发现功能是Burp Suite Professional如何帮助加快和改进手动测试的另一个很好的例子。此功能可以自动发现从应用程序中可见的任何地方链接到的内容和功能 - 记录这些位置以进行进一步的侦查。
要启动内容发现,只需在Burp Suite Professional的站点地图中选择一个请求,右键单击,然后选择“参与工具”,然后选择“ Discover Content”。然后,该软件将使用一系列自动化技术来寻找您可能感兴趣的事物。
应用的技术包括名称猜测,网络爬行以及从应用程序其他地方观察到的命名约定的推断。beplay体育能用吗当然,作为Burp Suite Professional的一部分,此功能是完全可调的 - 使您可以针对目标应用程序的特殊性进行调整。
7.打bur扫描仪
如何在Burp Suite Professional中使用Burp扫描仪。
打扫扫描仪是Burp Suite Professional的标题功能之一 - 因此,我们在这里提到它可能有些毫不奇怪。但是,对于Burp Suite Professional,您可以使用扫描仪不仅可以自动扫描整个目标应用程序。
实际上,尽管听起来可能违反直觉,但Burp扫描仪包含许多可以使手动测试人员立足的功能。这可以改善测试的深度,使您免于乏味,并给您更多时间研究您实际享受的东西的类型。
集中的Burp扫描是获得手动测试立足的好方法。
想象一下,您正在手动查看一堆HTTP请求,并且遇到了自己认为可以利用的东西。您是否知道您可以对该请求进行打bur扫描?只需右键单击请求,然后单击“进行主动扫描”,以启动重点的BURP扫描。
将上述技术与Burp入侵者相结合,以进一步放大。右键单击请求,将其发送给入侵者,然后手动在所需位置中添加插入点。然后右键单击请求,然后选择“扫描定义的插入点”。由于该技术限制了Burp扫描仪提出的请求数量,因此它可以为您提供非常快速的游戏结果。
想进一步走吗?尝试使用记录器观察目标服务器对BURP扫描仪有效载荷的响应的工具。这是观察有趣行为的好方法,您可能可以利用。
将Burp Suite Pro通过其步伐
Burp Suite专业人士是一种巨大的产品,即使您过去使用过Burp Suite Community Edition,也可以尝试大量新功能。如果您尚未检查过,则免费beplay体育能用吗网络安全学院是学习最新的黑客技巧的好方法。
更具体地说,某些Web安全学院实验室提供了一种很好的方beplay体育能用吗法来体验我们上面提到的一些工具如何使您作为测试人员的生活变得更加容易。我们特别推荐实验室损坏的2FA身份验证(看看您可以用Burp入侵者来爆发多快的速度)或盲型SQL注入带外的数据剥落(尝试BURP合作者客户端)。您可能还想检查我们的Burp Suite教程。
最后,但绝非最不重要的一点,我们发布了一系列Burp Suite专业视频指南。对于Burp Suite Pro的新用户来说,这些可能是最快的方法,可以与该产品掌握 - 甚至由Burp Suite的原始创作者Dafydd Stuttard演讲。
