现代网络是越来越复杂的beplay体育能用吗野兽。每年都有新的框架,技术和设计趋势,更不用说漏洞了。所有这些都增加了您的测试工作量。这也使Appsec艰巨地学习初学者,他们缺乏在更简单时期操作的好处。
和Burp Suite专业人士,我们的目标一直是帮助您减少这种复杂性 - 节省时间并使生活更轻松。我们还在教育下一代的五旬节 - 通过beplay体育能用吗网络安全学院和像我们这样的倡议$ 99 BURP套件认证的从业人员资格。
Burp Suite Pro如何帮助您测试现代网络beplay体育能用吗
Burp Suite专业人员在处理现代网络应用程序时有很多方法使测试人员的生活更轻松,但是我们最近介绍了三个主要功能:beplay体育能用吗
测试HTTP/2
在不提及HTTP/2测试的情况下,现在就不可能谈论Burp Suite的功能集。到目前为止,HTTP/2的攻击表面几乎没有审核 - 由于完全缺乏任何合适的工具 - 但我们正在改变所有这些。
现在,我们添加了许多便利的手册HTTP/2测试功能beplay官网可以赌港口研究。其中包括我们开创的HTTP/2独家攻击的能力,该攻击无法使用HTTP/1表示。而且当然打扫扫描仪现在有能力自动执行这些攻击。有关更多信息,请查看James Kettle的Black Hat USA 2021演示文稿:”http/2:续集总是更糟”。
扫描API端点
单页应用程序(SPA)的兴起与对API和微服务的依赖汇聚 - 这反过来又创造了新的攻击表面。从角度来看,Okta最近引用了Gartner预测,到2022年,API滥用将是最常见的攻击向量,导致企业应用程序的数据泄露。当然,自2019年以来,OWASP排名前10位仅用于API漏洞。
Burp扫描仪已获得能力扫描API安全漏洞-自动解析OpenAPI V3 REST API定义用json写。这通常可以揭示传统扫描仪会错过的攻击表面。API扫描是一个功能,它将与Burp Scanner的JavaScript扫描功能一起增长,并且随着它的进一步开发,它将极大地增强扫描仪本身。
从这个复杂的
的简介Burp Suite的嵌入式铬浏览器经过测试工作流程的革命性 - 为许多新功能提供了基础。构建在嵌入式浏览器背面的功能包括Dom Invader,,,,身份验证的扫描, 和JavaScript扫描- 还有更多要来的。
最重要的是,嵌入式浏览器为BURP Suite用户提供了快速简便的开箱即用设置。只需打开嵌入式浏览器,然后立即开始对流量(包括HTTPS)进行代理。所有必要的代理侦听器设置都会自动调整,并且无需手动安装CA证书。
Burp Suite Professional的新功能
上面的功能仅是冰山一角。2.0版带来了Burp Suite Professional Bang在2018年的最新情况 - 具有一系列新功能 - 但我们并没有停在那里。查看我们介绍的一些很酷的新内容,以及其他一些将很快掉落的功能:
Burp扫描仪爬网和审核提供了良好的可见性,旨在补充您的手动测试工作流程。
Burp Scanner做更多的事情
- 爬行者-Burp Suite 2.0的爬网当它取代了Burp 1.X的过时蜘蛛时,它是测试现代网络的游戏规则改变者。beplay体育能用吗这为JS扫描铺平了道路。
- API扫描- (如上)现在可以自动解析许多API定义。在测试基于微服务的应用程序时,这可能非常有帮助。
- 身份验证的扫描- (如上)记录复杂登录使用Burp Suite Pro的嵌入式铬浏览器,以及许多现代网络应用程序的特权区域。beplay体育能用吗
- JavaScript扫描- (如上)Burp Suite的嵌入式浏览器使它具有执行和扫描JavaScript- 切割更多的水疗中心。
- 新的漏洞课程和扫描检查- 与Portswigger Research的最新漏洞保持最新状态 - 包括beplay官网可以赌http/2独家威胁。
- 平行扫描-同时扫描目标的多个区域- 具有独立设置扫描配置和优先级(如果需要)的能力。
- 改进的资源管理- 我们介绍了许多功能来帮助您管理Burp使用系统资源并调整它以适合您的机器。
- 扫描配置库-策划自己的扫描类型库在不同情况下使用 - 包括自定义配置。
- 自动任务的仪表板视图-仪表板选项卡为您提供一个地方来监视,控制,暂停和重新排序BURP Suite Pro的自动化活动。
- 整合地点被动问题- Burp扫描仪现在将巩固广泛的被动检测问题默认情况下 - 使其更易于评估。
下载最新版本的Burp Suite Professional访问所有这些功能等。
DOM Invader使用Burp Suite的嵌入式铬浏览器来进行DOM测试XSS容易得多。
手动功能可帮助您更快地测试
- 嵌入式浏览器- 将铬嵌入BURP中已使本文中的许多功能。这也使初学者的生活变得更加轻松 - 因为以前没有任何配置通过嵌入式浏览器代理流量。
- http/2功能- (如上)我们添加了大量功能,以帮助您测试HTTP/2漏洞 - 包括轻松的能力”水壶“ 要求。
- Dom Invader- (如上)与Portswigger研究密切合作设计,beplay官网可以赌Dom Invader使用Burp的嵌入式浏览器制作DOM XSS更容易找到。
- 记录器- 根据大众需求,Burp Suite的桌面版本包括本机记录功能- 为您提供所有Burp生成的HTTP流量的记录。
- beplay体育能用吗Websocket消息-拦截和编辑Websocket消息beplay体育能用吗- 包括重新配置用于创建的谈判请求的能力beplay体育能用吗Websocket。
- 在项目文件中保存入侵者攻击- 你现在可以保存使用Burp入侵者进行的攻击给你项目文件。在大型项目中工作时,这非常方便。
- 消息检查员-检查员使消息编辑器访问许多Burp Suite功能,而无需切换选项卡。它包括有用的功能自动编码。
下载最新版本的Burp Suite Professional访问所有这些功能等。
即将到来的功能
- 进一步的水疗扫描功能- 通过自动审核使用XHR或Fetch提出的范围内API请求,Burp扫描仪将利用更多的水疗攻击表面。
- 新的SSTI扫描检查- 使用Burp扫描仪检测服务器端模板注入(SSTI)在更广泛的模板引擎中,并使用Oast。
- HTTP/2的更多手动测试功能- 包括Burp Repeater,Extender和检查员中的额外支持。更有效地测试HTTP/2。
- Burp扫描仪速度增强功能- 对BURP扫描仪的默认设置进行微调,以便在不损害覆盖范围的情况下更快地进行扫描。
- 数据格式的有效载荷- 在拨打API呼叫时,将改善BURP扫描仪有效载荷的放置和编码 - 增强可靠性。
- 检查员的改进- 基于与Burp Suite用户的讨论,将开发消息检查员,以进一步提高手动测试。
- 消息编辑器改进- 同样,根据Burp Suite的用户社区的反馈,我们将寻求微调消息编辑器的可用性。
- 记录器改进- 包括将日志导出为CSV文件以供外部使用的能力。
请看Burp Suite专业路线图有关即将到来的功能的更多详细信息。
Burp Suite Pro用户界面进行了大修 - 现在包括Dark Mode之类的功能。
它不止于此
当然,Burp Suite的最重要功能是我们无法自动化的套房 - 是您 - 驾驶它的人。我们想帮助我们的用户开发 - 这就是为什么我们介绍了诸如新嵌入式“ Learn”选项卡之类的功能,对我们的用户界面进行了修改以更直观,并创建了一系列的范围Burp Suite Pro视频教程。还有一个新的指南Burp Suite入门,对于全新软件的用户。
最后,如果您还没有,那么值得一看beplay体育能用吗网络安全学院。在这里,您会发现免费的学习材料和近200个免费的实验室 - 涵盖从经典错误到最新漏洞的所有内容。我们是否提到您现在可以获得仅$ 99的Burp Suite认证?
