标签： 安全测试

Burp Suite Professional破解版是一款很专业的网络安全测试工具，主要用来进行渗透测试，整个测试过程都是可视化的。它会帮助程序员发现可能存在的漏洞，并提供切实的解决方案。

Burp Suite是什么软件

Burp Suite是PortSwigger为您提供的一系列领先的网络安全工具。我们相信通过卓越的研究为用户提供竞争优势。每个新版本的Burp Suite都有一个共同的祖先。贯穿我们家谱的DNA代表了数十年来的卓越研究。正如行业一次又一次表明的那样，Burp Suite是您可以信赖的在线安全工具。

Burp Suite安装过程

安装过程包括以下阶段：

数据库设置。如果您决定使用外部数据库，则需要建立外部数据库。

准备安装。这涉及对部署进行一些决策，并确保网络拓扑合适。

初始产品安装。这涉及安装企业服务器和Web服务器组件，以及可选的初始代理。

安装后配置。这涉及激活许可证，安装任何其他代理以及其他基本配置任务。

1、数据库设置

您需要确定是使用捆绑数据库还是外部数据库。

如果使用外部数据库，则需要创建一个数据库架构以供Burp Suite Enterprise Edition使用。请按照以下说明为您的数据库类型。

设置脚本将创建两个用户，称为beserver和beagent。您应该用自己的强密码替换脚本中指定的密码。保留准备在安装期间提供的外部数据库的连接详细信息的记录。

2、准备安装

您需要决定：

1)您要在其上运行代理的计算机的数量，以及是要在Enterprise服务器本身上还是在外部计算机上或两者上运行代理。

2)在Linux和MacOS上，是要使用现有的操作系​​统用户来运行Burp Suite Enterprise Edition服务，还是要在安装过程中创建新用户。

3)Web服务器要使用的端口号。这是用户和API客户端用于访问应用程序的端口号。该服务器必须可以在企业服务器计算机上使用，并且必须允许操作系统用户绑定到该端口。在Linux和MacOS上，低特权用户无法绑定到低端口号(例如80或443)，如果希望使用低端口号，则应在操作系统级别配置端口重定向。

4)是否要在Web服务器前端上使用TLS。如果是这样，您将需要PKCS#12格式的TLS证书文件以及该证书文件的密码。

5)Burp Suite企业版的管理员用户的名称和电子邮件地址。这将是唯一的初始用户，并将具有最大权限。在安装过程中，您应该为此帐户设置一个强密码。

3、初始产品安装

登录到portswigger.net上的帐户，并根据企业服务器计算机的操作系统下载相关的Burp Suite Enterprise Edition安装程序。安装程序以包含安装程序可执行文件的ZIP文件的形式分发。

以超级用户(在Linux和MacOS上)或管理员(在Windows上)运行安装程序可执行文件。

在安装向导期间，您将需要指定：

1)用于存放软件，数据和日志的文件夹。

2)要安装的组件。如果要在同一台计算机上安装初始代理，请选择“企业服务器和Web服务器”，然后选择“代理”。选择这两个选项是最简单的入门方法。

3)在Linux和MacOS上，将运行Burp Suite Enterprise Edition服务的操作系统用户的名称。如果该用户尚不存在，将被创建。

4)Web服务器要使用的端口号。这是用户和API客户端用于访问应用程序的端口号。

5)数据库类型。

6)数据库连接详细信息(如果选择了外部数据库)。

7)如果选择了嵌入式数据库，则企业服务器计算机的主机名或IP地址。

8)Burp Suite企业版的管理员用户的详细信息。这是唯一的初始用户，将具有最大权限。为此帐户设置一个强密码。

安装向导完成后，应安装并运行企业服务器和Web服务器(以及初始代理，如果已配置)。

4、安装后配置

注意：初始安装后，Web服务器将使用未加密的HTTP进行通信。如果计划启用TLS，建议您从Enterprise服务器计算机本身或与之建立信任的网络连接上执行安装后步骤。

执行以下步骤以完成安装：

1)浏览到相关主机和端口上的Web服务器(默认端口为8080)。

2)使用安装期间指定的管理员帐户的凭据登录。

3)如果要将TLS用于Web服务器，请通过burger菜单在Web服务器设置中进行配置。进行更改后，您将需要等待Web服务重新启动，将浏览器中的URL从HTTP更改为HTTPS，然后再次登录。

4)如果您需要使用网络代理访问公共网站，请通过burger菜单配置网络代理设置。

5)通过burger菜单 安装许可证密钥。Burp Suite Enterprise Edition处于未许可状态时，无法执行任何扫描。

6)通过汉堡菜单 配置电子邮件设置。电子邮件是在设置用户时使用的，将来还会用于其他目的。

主要功能

1、Web漏洞扫描程序

涵盖了100多个通用漏洞，例如SQL注入和跨站点脚本(XSS)，在OWASP前10名中的所有漏洞中均具有出色的性能。

Burp的尖端 Web应用程序搜寻器 准确地映射内容和功能，自动处理会话，状态更改，易失性内容和应用程序登录。

2、计划和重复扫描

Burp Suite企业版可以在特定时间执行计划的扫描，或按需执行一次性扫描。

您可以将重复扫描配置为无限期运行，或直到定义的终点运行。

您可以在一个地方查看给定网站的整个扫描历史记录。

3、无限的可扩展性

Burp Suite企业版具有极高的可伸缩性，并且可以无限期地并行扫描许多网站。

您可以在一个位置配置组织的所有网站，以反映您的组织结构。

所有扫描结果都汇总在一个地方，可一目了然地查看组织的安全状况

可扩展的代理程序池将工作负载分布在多台计算机上，从而使您的部署可以扩展到任何规模，并可以根据组织的需要执行任意数量的并行扫描。

4、CI集成

使用Burp的CI集成 在您的开发生命周期中推进安全自动化。

通过REST API从CI系统自动启动漏洞扫描。

有针对流行平台(如Jenkins和TeamCity)的现成本机CI插件，以及可以轻松安装在任何CI系统中的通用CI驱动程序。

5、先进的手动工具

使用Burp项目文件实时增量保存您的工作，并从上次中断的地方无缝接听。

使用配置库可以使用不同的设置快速启动目标扫描。

在Burp的中央仪表板上查看所有发现的漏洞的实时反馈。

软件特征

1、自动收获低垂的水果

Web漏洞扫描程序是Burp Suite Professional的核心。这是世界上许多最大的组织信任的扫描仪。

该扫描仪涵盖整个OWASP Top 10，并且能够进行被动和主动分析。当然，开发工作由PortSwigger的世界领先研究团队负责。

2、通过人工指导的自动化节省更多时间

使用纯自动化工具无法找到每个Web安全漏洞。许多需要某种形式的人工输入。但是，利用这些漏洞通常可能是一件令人厌烦的任务。

Burp Intruder等强大的省力工具可让您更好地利用自己的时间。当对漏洞进行模糊处理或使用其他蛮力技术时，尤其如此。

3、瑞士黑客专用刀

很容易看出Burp Suite Pro为何起作用。这是一个真正的一站式解决方案，可快速，可靠地发现和利用Web应用程序中的漏洞。

但这还不止于此。通过BApp Store，您可以访问数百个社区生成的插件。Burp Suite的Extender API允许您编写自己的。通过以这种方式增强Burp Suite Pro的功能，其应用几乎变得无限。

更新内容

此版本包括许多次要的增强功能和错误修正。

在Burp Repeater中，有一些新选项可以关闭选项卡，关闭所有其他选项卡并重新打开已关闭的选项卡。您可以通过选项卡标题上的上下文菜单或分配热键来访问这些操作。

有一个新的(默认启用)扫描选项，可忽略要扫描的URL协议。这是为了避免在仅针对//example.com配置扫描的同时，还需要包括https://example.com的常见用户错误。

当Burp更新可用时，有一些选项可以将更新通知静音一周，当前提供的更新或所有Beta更新。

修复了影响使用影响Burp 2.x的PKCS#11智能卡的错误。