Burp Suite 2020补丁

　　Burp Suite补丁是针对刚发布的Burp Suite Pro 2020版而开发的激活工具，让所有管理员都可以免费使用此工具；新版本更新了高级/自定义自动攻击功能，更快的暴力和模糊测试；支持部署包含多个有效负载集的HTTP请求的自定义序列，从根本上减少花费在许多任务上的时间；支持查询自动攻击结果，可以在自定义表中捕获自动结果，然后进行过滤和注释以查找有趣的条目/改善后续攻击；支持构建CSRF漏洞，能够轻松生成CSRF概念验证攻击，选择任何合适的请求以生成漏洞利用HTML；促进更深入的手动测试，即使未确认错误，也请查看反映/存储的输入，促进对诸如XSS之类的问题的测试；浏览时扫描，被动扫描您发出的每个请求，或对特定URL执行主动扫描的选项；自动修改HTTP消息，设置以自动修改响应。为响应和请求匹配并替换规则；支持自动扫描漏洞，可以利用AST技术的先锋；高信号：低噪声；使用开拓性，无摩擦的带外应用程序安全性测试(OAST)进行扫描；支持征服客户端的攻击面，混合AST和内置的JavaScript分析引擎可帮助发现客户端攻击面上的漏洞；需要的用户可以下载体验

新版功能

　　通过研究促进脆弱性覆盖

　　PortSwigger Research的前沿扫描逻辑结合了100多个通用错误的覆盖范围。

　　微调扫描控制

　　通过用户驱动的扫描方法获得细粒度的控制。或者，运行“点击”扫描。

　　有效修复错误

　　PortSwigger Research提供了针对每个错误的自定义说明和逐步修复建议。

　　配置扫描行为

　　自定义审核内容以及审核方式。跳过特定的检查，微调插入点，等等。

　　导航困难的应用程序

　　搜寻更复杂的目标。Burp Suite的搜寻器会根据内容而不只是URL来识别位置。

　　有效地应用IAST

　　借助可选的代码工具，简化了源识别和漏洞报告。

　　体验浏览器驱动的扫描

　　浏览器驱动的扫描已经朝着更好地覆盖棘手的目标（如重载AJAX的单页应用程序）迈进。

　　生产力工具

　　深入分析消息

　　在功能丰富的HTTP编辑器中显示跟踪，分析，参考，发现和修复。

　　同时使用内置配置和自定义配置

　　访问用于常见任务的预定义配置，或保存和重复使用自定义配置。

　　乘以项目选项

　　自动将所有正在运行的项目保存到磁盘，并将配置添加到预先保存的项目。

　　使代码更具可读性

　　自动打印精美的代码格式，包括JSON，JavaScript，CSS，HTML和XML。

　　轻松修复扫描结果

　　对于每个错误，请参阅源，发现，内容和补救措施，以及汇总的应用程序数据。

　　简化扫描报告

　　使用HTML / XML格式自定义。报告所有确定的证据，包括问题的详细信息。

　　加快数据转换

　　使用多种内置操作（例如，十六进制，八进制，Base64）对数据进行解码或编码。

　　扩展名

　　创建自定义扩展

　　扩展器API确保通用的适应性。编写自定义扩展代码，使Burp为您工作。

　　记录器++

　　有关深度漏洞的详细信息（在易于访问的表中排序和排列），请使用Logger ++。

　　自动化

　　测试授权漏洞时，可以节省时间并通过Autorize执行重复请求。

软件特色

　　涡轮入侵者

　　Turbo Intruder使用Python配置并带有自定义HTTP堆栈，每秒可释放数千个请求。

　　J2EE扫描

　　使用J2EEScan扩展特定于Java的漏洞目录并查找最特殊的错误。

　　反斜杠供电的扫描仪

　　使用Backslash Powered Scanner查找研究级的错误，并弥合人类的直觉和自动化。

　　访问扩展库

　　该BAPP商店定制和扩展能力。由Burp用户编写和测试的250多个扩展。

　　上载扫描器

　　使用Upload Scanner上传和测试多个文件类型的有效负载，以适应Burp Scanner的攻击。

　　Retire.js

　　与Retire.js存储库集成，以使用软件组成分析（SCA）检查已知错误。

　　验证矩阵

　　使用Autorize 运行AuthMatrix，以定义您的访问级别漏洞授权检查。

　　矿工矿工

　　使用Param Miner快速查找未键入的输入-每秒最多可以猜测65,000个参数名称。

方法

　　1、该程序需要JDK的支持，若用户尚未安装，可以先下载然后双击进入如下的安装程序，点击【下一步】按钮。

　　2、安装选项，用户可以选择默认的组件与安装路径，然后点击【下一步】。

　　3、正在安装JDK，等待安装完成。

　　4、弹出如下的选择Java目标文件夹，设置后点击【下一步】。

　　5、弹出如下的JDK安装完成的提示，点击【关闭】。

　　6、我们右击“burp-loader-keygen.jar”，然后在打开方式中选择【Java(TM) Platform SE binary】。

　　7、进入如下的界面，输入一个任意用户名即可自动生成密匙。

　　8、在弹出的用户界面中点击【run】按钮，即可运行软件。

　　9、也可以右击“burpsuite_pro_v1.7.32.jar”，在打开方式中选择【Java(TM) Platform SE binary】。

　　10、随即运行Burp Suite Professional即可使用

使用说明

　　启动打Bur

　　从PortSwigger.net网站下载适用于所需平台（Windows，MacOS或Linux）的Burp Suite安装程序。

　　运行安装程序，然后在安装向导中选择任何所需的选项。

　　通过单击已安装的应用程序快捷方式启动Burp Suite。在Linux上，快捷方式位于安装过程中显示/选择的安装路径中。

　　您也可以从命令行启动Burp Suite，以指定其他选项和命令行参数。

　　启动向导

　　Burp启动时，将显示启动向导。这使您可以选择要打开的Burp项目以及要使用的项目配置。

　　选择一个项目

　　您可以从以下选项中选择以创建或打开项目：

　　临时项目 -此选项对于不需要保存您的工作的快速任务很有用。所有数据都保存在内存中，并且在Burp退出时丢失。

　　磁盘上的新项目-这将创建一个新项目，该项目会将其数据存储在Burp项目文件中。该文件将保存项目的所有数据和配置，并且在您工作时会增量保存数据。您也可以指定项目的名称。

　　打开现有项目 -这将从Burp项目文件中重新打开现有项目。显示最近打开的项目列表，以便快速选择。选择此选项后，重新打开项目时，蜘蛛和扫描仪工具将自动暂停，以避免将任何意外请求发送到现有已配置目标。如果需要，可以取消选择此选项。

　　注意：您以后可以通过“打p”菜单重命名项目。

　　选择配置

　　您可以从以下选项中选择项目配置：

　　使用Burp默认值 -这将使用Burp的默认选项打开项目。

　　使用随项目保存的选项 -仅在重新打开现有项目时可用，并且将使用项目文件中保存的选项打开项目。

　　从配置文件加载 -这将使用选定的Burp配置文件中包含的选项打开项目。请注意，将仅重新加载配置文件中的项目级选项，而所有用户级选项都将被忽略。显示最近使用的配置文件列表，以便快速选择。

　　从其他Burp安装中打开项目

　　如果您打开由其他Burp安装创建的现有项目，则Burp将提示您决定是否拥有该项目的完全所有权。

　　之所以需要此决定，是因为Burp在项目文件中存储了一个标识符，该标识符用于检索与项目关联的任何正在进行的Burp Collaborator交互。如果Burp的两个实例在正在进行的工作中共享相同的标识符，则可能会遗漏或错误地报告某些基于协作者的问题。如果没有其他Burp实例在该项目上工作，则仅应从其他Burp安装中获得项目的完全所有权。

　　显示设置

　　第一次运行Burp时，值得花一点时间检查显示设置。Burp允许您为UI的不同部分选择不同大小的字体，并且您可能希望根据屏幕分辨率更改这些设置。

　　首先，查看Burp菜单，选项卡标题，按钮和其他文本中显示的文本。如果要更改主UI字体大小，请转到“选项”选项卡，然后转到“显示”子选项卡，然后在“ 用户界面”部分中编辑字体大小。然后重新启动Burp并检查新字体是否合适。

　　其次，转到“转发器”选项卡，然后查看请求面板中显示的HTTP消息。如果要更改HTTP消息的字体大小，请转到“选项”选项卡，然后转到“显示”子选项卡，然后在“ HTTP消息显示”部分中编辑字体大小。然后返回“中继器”选项卡，检查新字体是否合适（无需重新启动）。