使用Burp Proxy对Web应用程序进行调试和测试

安全 数据安全
Burp Proxy是免费版和专业版Burp Suite的核心部分,它是一个用于调试以及对网络应用程序进行安全检测的集成平台。

什么是"Burp Proxy"

Burp Proxy是免费版和专业版Burp Suite的核心部分,它是一个用于调试以及对网络应用程序进行安全检测的集成平台。

Burp Proxy是为企业及消费者而设计

从性能和安全的角度来看,它无疑可以在企业层面上发挥一定的作用,同时对于那些想要看清网络应用程序如何工作的人来讲,它也是一个有用的工具。特别是渗透测试者会发现它很有帮助,因为它是由一个渗透测试者开发出来的,所以它的许多功能适用于这类工作。

Burp Proxy是一个交互式的HTTP和HTTPS协议服务器,它充当着浏览器和网络服务器的中间人角色。这意味着它可以拦截、查看和修改在这两者之间传递的流量。这种修改浏览器请求的能力,使得测试者可以发现应用程序如何工作并处理意外或者恶意的请求,比如SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等。

它具有许多功能。例如,当图片和视频正在传输时,你可以处理它们的二进制数据。虽然输出包括了请求和应答的自动着色语法,但通过使用基于域、IP地址、cookies、正文内容以及HTML页标题等各种参数的过滤器,使用者可以修改网络请求和响应,以此来控制哪些请求和应答需要被拦截下来进行人工测试。所有请求和做出的修改都保存在历史记录里,还可以保存到一个文件中,用于进一步的分析或者提供审核线索。

Burp Proxy也与Burp Suite中的其它工具紧密集成,所以任何请求或者应答都可以被发送给其它工具用于进一步的处理。Burp Suite的两个版本都包含一个用于映射网站的spider工具,它通过记录所有通过Burp Proxy发出的请求来建立一个详细的站点地图。由此产生的站点地图可以用于选择某些项目,并把它们发送给其它的Burp工具,用于分析或者把它作为一次攻击测试的一部分。这些工具可以在一起协同工作,这加快了人工或者自动测试的速度。

Burp在Linux和Windows上均可运行,而且你还可以使用IBurpExtender接口来开发你自己的插件,从而拓展它的功能。专业版的价格是每个用户每年275美元,同时它包括一些额外的工具,比如一个应用程序漏洞扫描器,以及一个用于执行定制攻击来发现和利用罕见漏洞的入侵者工具。如果你有兴趣尝试使用Burp的话,可以在PortSwigger网站上下载免费的版本使用一下。

【编辑推荐】

  1. Web应用程序防火墙(WAF)将无处不在
  2. 改善Web应用程序开发的7个技巧
  3. 九个免费的安全工具
  4. 企业网络用开源安全工具挖掘漏洞漫谈
责任编辑:于爽 来源: TechTarget中国
相关推荐

2010-12-15 17:22:59

2009-08-27 11:40:43

ibmdw云计算

2023-08-11 07:59:15

2010-02-22 15:49:35

Python应用程序

2010-02-07 10:21:27

Android应用程序

2012-02-15 13:26:56

IndexedDB

2010-02-22 14:54:47

Python应用程序

2020-05-28 09:51:11

Web安全WAF漏洞

2022-12-22 08:01:09

Vue测试库测试

2010-06-13 09:22:37

jQuery

2022-12-25 18:03:13

Debug原理软件

2009-06-02 16:05:04

Struts驱动开发

2015-02-26 09:19:00

2024-01-15 06:05:05

DockerGol ang应用程序

2009-09-22 12:59:07

ibmdwWeb

2009-01-03 14:25:10

ibmdwWeb

2021-09-07 10:24:36

Vue应用程序Web Workers

2021-06-15 20:59:14

Kubernetes调试容器

2015-02-11 09:15:46

云部署嵌套虚拟化PaaS

2010-05-20 09:48:36

点赞
收藏

51CTO技术栈公众号