Burp Suite Professional是一款信息安全從業(yè)人員必備的集成型的滲透測試工具，軟件通過了最先進的掃描技術(shù)，可以讓用戶查看到最新的漏洞，并不斷提高安全測試的能力。軟件使用后可以幫助用戶快速進行滲透測試操作，并且可執(zhí)行所有的測試，能夠無縫地進行從基礎(chǔ)分析到發(fā)現(xiàn)弱點和漏洞的各種測試操作，非常給力，用戶可以通過單獨的應(yīng)用程序來測試每個項目，并且值得注意的是基本上所有的測試都是自動完成的哦，用戶可以快速獲取最完全的信息和結(jié)果，軟件不僅能通過檢查漏洞來確定漏洞的優(yōu)先級，還可以提供合理的建議。軟件使用了純自動化的流程來尋找出各種的漏洞，可以幫助用戶節(jié)省下更多的時間。軟件的技術(shù)可以用于檢測目標(biāo)應(yīng)用的程序，在其達到有效負(fù)載達到應(yīng)用程序內(nèi)危險API時可以向軟件實時反饋。本次提供的是這款最新的Burp Suite Pro版本，歡迎需要此款工具的朋友前來下載使用。

PS：百度網(wǎng)盤中包含Burp Suite Pro 2024、Burp Suite Pro 2023、Burp Suite Pro 2022、Burp Suite Pro 2021、Burp Suite Pro 2020等版本，大家可以根據(jù)自身需求選擇下載。

Burp Suite包含以下關(guān)鍵組件：

-攔截代理，可讓您檢查和修改瀏覽器與目標(biāo)應(yīng)用程序之間的流量。

-一種可識別應(yīng)用程序的Spider，用于抓取內(nèi)容和功能。

-先進的Web應(yīng)用程序掃描程序，用于自動檢測多種類型的漏洞。

-入侵者工具，用于執(zhí)行強大的自定義攻擊，以發(fā)現(xiàn)和利用異常漏洞。

-轉(zhuǎn)發(fā)器工具，用于處理和重新發(fā)送單個請求。

-一個定序器工具，用于測試會話令牌的隨機性。

-可以保存您的工作并在以后恢復(fù)工作的能力。

-可擴展性，使您可以輕松編寫自己的插件，以在Burp中執(zhí)行復(fù)雜且高度自定義的任務(wù)。

專業(yè)版的功能：

- Burp Proxy

- Burp Spider

- Burp Repeater

- Burp Sequencer

- Burp Decoder

- Burp Comparer

- Burp Intruder

- Burp Scanner

- Save and Restore

- Search

- Target Analyzer

- Content Discovery

- Task Scheduler

- Release Schedule

該軟件在什么操作系統(tǒng)上運行？

Burp需要一臺安裝了官方Java Runtime Environment（64位版本，版本1.8或更高版本）的計算機。 JRE可用于各種流行的操作系統(tǒng)，包括Windows。

運行該軟件的系統(tǒng)要求是什么？

Burp至少需要4Gb的內(nèi)存。如果要執(zhí)行大量工作或測試大型或復(fù)雜的應(yīng)用程序，則可能需要更多的內(nèi)存。

Burp Suite Professional2022激活步驟

運行burploader.jar并使用“運行”按鈕。程序激活窗口將打開。使用數(shù)據(jù)激活程序（手動激活）。完畢。

對于使用加載程序啟動程序，該程序?qū)⒈患せ睢?/p>

Burp Suite Professional2023激活步驟

1 - 運行BurpLoader

2 - 在Loader命令部分復(fù)制文本

3 - 打開cmd并粘貼文本并輸入

4-來自BurpLoader的粘貼許可證密鑰

5-在激活許可證部分，選擇手動激活，然后復(fù)制要求并粘貼到激活要求部分中Burploader，它回?fù)袅隧憫?yīng)

***如果有任何錯誤>打開CMD并輸入以下命令并重做安裝
Rd /s /q "%userprofile%\AppData\Roaming\BurpSuite\"
Reg刪除 "HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\burp" /f

軟件功能

1、您的盟友，每一個漏洞都很重要

剛開始時，您一直在尋找更高效的工作流程。更詳盡 更可靠。而且，作為世界上使用最廣泛的筆測軟件的創(chuàng)作者，PortSwigger一直在尋找新的方法來幫助您做到這一點。

我們熱愛改變行業(yè)，開創(chuàng)性的研究已成為我們的標(biāo)志。反過來，我們通常會構(gòu)思出全新的攻擊技術(shù)-然后將這些技術(shù)置于用戶容易范圍之內(nèi)。當(dāng)然，眾所周知的弱點不會被忽略，并且Burp Suite Pro可用于測試整個OWASP Top 10，從SQL注入到跨站點腳本（XSS）等。

2、智能自動化，就在您需要的地方

我們的理念是應(yīng)將您寶貴的手動測試時間節(jié)省下來，以備不時之需?？紤]到這一點，Burp Suite Pro包含許多強大的自動化功能。最明顯的是Web漏洞掃描程序，但Burp Intruder和我們創(chuàng)新的爬蟲等工具也將為您提供速度和效率方面的巨大優(yōu)勢。

自動化應(yīng)始終盡可能智能。這就是為什么Burp Suite Pro中的每個自動筆測工具都允許進行進一步配置的原因。在隱身至關(guān)重要的情況下，或者遇到不尋常的目標(biāo)應(yīng)用程序時，這特別有用。

3、測試每種類型的應(yīng)用程序

Burp Suite Pro可以讓用戶攻擊和測試任何類型的Web應(yīng)用程序或端點。例如，Burp Suite Mobile Assistant使測試iOS應(yīng)用程序極其簡單。Android設(shè)備也可以配置為與Burp配合使用，使其成為移動應(yīng)用程序安全測試的強大平臺。

在其他情況下，我們創(chuàng)建了全新的滲透測試軟件來利用漏洞。Burp Collaborator就是一個很好的例子-它是市場上第一個允許進行帶外應(yīng)用程序安全測試（OAST）的工具。在這里，Burp通過與聯(lián)盟的外部服務(wù)器“協(xié)作”揭示了許多以前盲目的漏洞。

4、潛力無限的測試工具

幾年前，Burp最初是一個相對簡單的攔截代理。如今，它不斷取得成功，已成長為包括一整套滲透測試工具，漏洞賞金狩獵工具以及其他道德黑客工具。但是故事還沒有結(jié)束。

BApp商店現(xiàn)在提供數(shù)百種精選的開源Burp Suite擴展。其中許多工具（例如反斜杠掃描儀或Param Miner）均基于PortSwigger的研究。其他人來自我們寶貴的用戶社區(qū)。無論您想添加什么功能，只要您能想到，Burp都能做到。

5、業(yè)界最受歡迎的工具

Burp Suite Professional在130多個國家/地區(qū)擁有40,000多名用戶。這使其成為用于Web安全測試的世界上使用最廣泛的工具箱。

這不是偶然發(fā)生的。眾所周知，我們的工具是用戶知識的倍增器。

當(dāng)然，我們會這樣說。但是，請看一下我們的憑據(jù)。我們的軟件可以保護許多世界上最強大的組織

軟件特色

1、什么是網(wǎng)站漏洞掃描？

網(wǎng)站漏洞掃描是發(fā)現(xiàn)網(wǎng)站安全漏洞的最快方法。防御者可以定期運行自動掃描-允許他們修復(fù)出現(xiàn)的問題?？紤]到網(wǎng)絡(luò)安全的快速發(fā)展，這一點很重要。如果沒有漏洞掃描，則很難保持和保持合規(guī)性/避免數(shù)據(jù)泄露。

為此，防御者使用一種稱為Web漏洞掃描程序的軟件。漏洞掃描程序比手動測試有效得多，并且最好的工具可以標(biāo)記除最奇特的bug外的所有bug。Burp Suite Professional和Burp Suite Enterprise Edition的核心的漏洞掃描器就是這樣一種工具。

2、為什么需要漏洞掃描器？

數(shù)據(jù)保護法規(guī)正在增加。數(shù)據(jù)泄露的潛在后果比以往任何時候都要糟。但是，缺乏安全意識意味著網(wǎng)站通常建有漏洞-使其面臨遭受網(wǎng)絡(luò)攻擊的風(fēng)險。通過使用Burp Suite之類的軟件進行漏洞測試，您可以大大降低風(fēng)險。

甚至專家滲透測試人員都可以從使用漏洞掃描程序中受益。人們根本無法像計算機那樣快速，詳細(xì)地檢查網(wǎng)站。并且使用掃描儀將在短期內(nèi)概述站點的安全性。這使戊二酸酯可以自由地使用他們的技能來探測深奧的缺陷。

3、Burp Suite的不同之處

Burp Suite擁有40,000多名用戶，是世界上使用最廣泛的Web漏洞掃描程序。安全專業(yè)人員，組織和開發(fā)團隊都依靠PortSwigger使他們具有最新的漏洞意識。我們的掃描儀反映了這一點-并從正面引領(lǐng)市場。

一個很好的例子就是我們突破性的OAST（帶外應(yīng)用程序安全性測試）技術(shù)。在推出時，此功能使Burp Suite能夠看到其他掃描儀完全看不見的錯誤。我們相信PortSwigger的研究是首屈一指的-Burp Suite的成功證明了這一點。

4、Burp Web漏洞掃描程序可以做什么？

我們的掃描儀可以使用被動和主動兩種方法來測試站點的安全性。這些方法中更具攻擊性的-主動掃描-實際上將模擬攻擊以發(fā)現(xiàn)漏洞。Burp Suite允許您根據(jù)自己的需要量身定制掃描-無論您需要快速，簡單的方法還是更深入的安全性視圖。

Burp Scanner可以檢測到一系列常見錯誤，包括跨站點腳本（XSS）和SQL注入。但這遠(yuǎn)不止于此-檢測大量其他漏洞。HTTP請求走私是最近的一個例子，并大量建立在PortSwigger的研究基礎(chǔ)上。

5、如何選擇漏洞掃描軟件

由于Web漏洞掃描程序有許多用途，因此它們往往以不同的方式打包。例如，PortSwigger同時生產(chǎn)Burp Suite Professional和Burp Suite Enterprise Edition。兩者都包含Burp Web漏洞掃描程序，但是它們是非常不同的軟件。

Burp Suite Professional是面向漏洞賞金獵人和滲透測試人員的高級工具包。Burp Suite企業(yè)版是適用于組織和開發(fā)團隊的可擴展的自動掃描儀。如您所見，各種各樣的組織選擇Burp來提供保護

發(fā)行說明

portswigger.net/burp/releases

2024.4.4

此版本為 Burp Scanner 引入了多項新功能，包括審計項目的優(yōu)先級、在 API 端點上配置身份驗證的功能以及新的網(wǎng)絡(luò)緩存欺騙掃描檢查。我們還對性能做了一些改進。

審計優(yōu)先級
Burp Scanner 現(xiàn)在可在運行審計之前對審計項目進行優(yōu)先排序。這有助于掃描更早地發(fā)現(xiàn)關(guān)鍵漏洞，即使在短時間、有時間限制的掃描中也能提高一致性和覆蓋率。

Burp Scanner 根據(jù)兩個屬性為每個審計項目計算分?jǐn)?shù)：

興趣級別根據(jù)操作類型、內(nèi)容類型以及項目是否需要驗證，評估項目需要進一步人工調(diào)查的可能性。
攻擊面暴露側(cè)重于審計項目暴露的唯一插入點的數(shù)量。
請注意，由于項目現(xiàn)在以不同的順序進行審核，您可能會注意到掃描結(jié)果的外觀發(fā)生了變化。

有關(guān)審核優(yōu)先級工作原理的詳細(xì)說明，請參閱文檔。

API 掃描改進
此版本為 API 掃描引入了新功能，使您能夠配置端點身份驗證并查看將要掃描的參數(shù)。

API 掃描的身份驗證
現(xiàn)在，您可以在 API 掃描啟動器的 "API 詳細(xì)信息">"身份驗證 "選項卡中為 API 掃描配置端點身份驗證。這將使 Burp Scanner 能夠訪問經(jīng)過驗證的端點，從而擴大掃描范圍。Burp Scanner 目前支持以下驗證類型：

基本身份驗證
API 密鑰驗證
承載驗證
Burp 會自動檢測與 OpenAPI 定義中特定端點相關(guān)聯(lián)的身份驗證方法。此外，您還可以添加 OpenAPI 定義中未檢測到的身份驗證方法。

有關(guān) API 掃描身份驗證工作原理的詳細(xì)說明，請參閱文檔。

查看 API 參數(shù)
對于使用 API 規(guī)范啟動的掃描，Burp Scanner 現(xiàn)在在 API 詳細(xì)信息中提供了 "參數(shù) "選項卡。這可幫助您查看所有端點參數(shù)，包括其名稱、值、描述以及在 HTTP 請求中出現(xiàn)的位置。Burp Scanner 在檢查端點時會使用這些參數(shù)詳細(xì)信息來確定如何正確請求信息，從而讓你更容易清楚地了解掃描的內(nèi)容。如果 API 定義中沒有示例值，Burp Scanner 會生成它們。

網(wǎng)絡(luò)緩存欺騙掃描檢查
Burp Scanner 現(xiàn)在可以檢查網(wǎng)絡(luò)緩存欺騙。網(wǎng)絡(luò)緩存欺騙是一個安全漏洞，攻擊者會操縱 URL 路徑，誘使網(wǎng)絡(luò)緩存將動態(tài)內(nèi)容當(dāng)作靜態(tài)內(nèi)容來存儲和提供，從而導(dǎo)致敏感數(shù)據(jù)在未經(jīng)授權(quán)的情況下泄露。當(dāng)緩存誤解被篡改的 URL（例如在動態(tài) URL 上添加虛假的文件擴展名）并存儲敏感信息，從而導(dǎo)致未經(jīng)授權(quán)的用戶訪問這些信息時，就會發(fā)生這種情況。

爬蟲請求過濾
現(xiàn)在，爬網(wǎng)程序可以確定請求是否會被發(fā)送到廣告域或跟蹤域。這些請求會被自動放棄，通過過濾掉不必要的流量來幫助提高性能。

如果需要，您仍然可以通過將這些域添加到掃描范圍來抓取它們。

性能改進
我們正在進行一系列性能改進。在此版本中，我們進行了以下改進：

默認(rèn)情況下，Burp 現(xiàn)在會對來自代理的出站請求重復(fù)使用 HTTP/1 連接。這可能會改善瀏覽器的加載時間。如果您在使用此功能時遇到任何問題，請告知我們。如果服務(wù)器支持 "設(shè)置 "菜單中的 "代理">"雜項"，您也可以禁用 "為 HTTP/1 使用保持連接"。
我們修復(fù)了在表格中快速切換結(jié)果時導(dǎo)致代理歷史記錄滯后的問題。
生活質(zhì)量改進
我們做出了以下改進：

我們添加了 "無趣標(biāo)題 "用戶設(shè)置。這使您可以選擇 Burp 的默認(rèn)行為是在郵件編輯器的 "漂亮 "選項卡中顯示還是隱藏不感興趣的標(biāo)題。您只需設(shè)置一次，它就會適用于您機器上所有 Burp 安裝的新編輯器。
我們更改了網(wǎng)站地圖組織內(nèi)容的方式。樹形視圖現(xiàn)在按字母順序組織，首先是根域，然后是子域。這將兄弟域放在了一起，使其更易于瀏覽。
中繼器中的搜索結(jié)果現(xiàn)在會顯示相關(guān)的中繼器標(biāo)簽頁編號和歷史項目編號。您現(xiàn)在可以右鍵單擊結(jié)果并選擇轉(zhuǎn)到中繼器選項卡，以快速切換到相關(guān)的請求/響應(yīng)對。

錯誤修復(fù)
我們修復(fù)了以下問題：

我們修正了一個 Bug，在 API 掃描啟動器中獲取 URL 時，Burp 沒有使用自己的網(wǎng)絡(luò)設(shè)置。這意味著如果主機服務(wù)器需要特定的網(wǎng)絡(luò)配置，則無法上傳 API 定義?，F(xiàn)在，Burp 會應(yīng)用指定的所有網(wǎng)絡(luò)設(shè)置。這樣，您就可以從使用自簽名證書或上游代理等的 URL 上傳 API 定義。
我們修復(fù)了一個 Bug，該 Bug 可導(dǎo)致 Burp 在處理具有大量插入點的請求時消耗大量內(nèi)存。
我們修復(fù)了一個 Bug，該 Bug 可導(dǎo)致孤立掃描使用全局主機歷史記錄。如果某些項目因其他任務(wù)而被掃描，則會因此無法掃描這些項目。
我們在 "所有問題 "頁面上為問題重新添加了 "擴展 "右鍵菜單選項。該選項曾被錯誤移除。
我們修復(fù)了 JavaScript regex 檢查，該檢查在復(fù)雜的正則表達式中偶爾會超時。
我們修復(fù)了自定義表列在遇到空值后不再返回新值的錯誤?，F(xiàn)在可以計算和顯示空值。
Java 升級
Burp 現(xiàn)在使用 Java 21.0.2，增強了性能和安全性。

瀏覽器升級
我們已將 Burp 的內(nèi)置瀏覽器升級到 125.0.6422.60，適用于 Linux、Windows 和 MacOS。

2024.1.1.5

此版本修復(fù)了從網(wǎng)站地圖選擇項目的錯誤，并將 Burp 的瀏覽器升級到最新版本的 Chromium。

錯誤修復(fù)

我們修復(fù)了一個 Bug，當(dāng)在 "目標(biāo)">"網(wǎng)站地圖"中選擇項目時，Burp 有時會顯示不正確的請求/響應(yīng)對。現(xiàn)在，網(wǎng)站地圖會正確顯示所選項目的請求和響應(yīng)。

2024.1.1.4版本

此版本在 Burp Scanner 中引入了新的插入點面板，增強了對攻擊面覆蓋范圍的可見性。入侵者和代理數(shù)據(jù)表的可用性得到了重大改進，并具有可自定義的布局。適用于 Windows 的本機 ARM64 版本現(xiàn)在可用于在 ARM64 設(shè)備上獲得更好的性能。其他值得注意的改進包括更輕松地訪問搜索功能、適用于 macOS 的自定義鍵盤快捷鍵、在“目標(biāo)”選項卡中重新引入的“范圍”子選項卡、更新的儀表板通知以及增強的 GraphQL 選項卡功能。此更新還包括性能改進并修復(fù)了多個錯誤。

“插入點”面板

我們在 Burp Scanner 的“審核項目”選項卡中引入了“插入點”面板。這個新面板列出了請求的所有插入點，這可以幫助你了解掃描程序覆蓋了多少攻擊面。

該面板將插入點組織到樹視圖中，并將它們分為三種主要類型：“檢測到”（從基本請求中標(biāo)識的插入點）、“已移動”（在移動請求中的現(xiàn)有參數(shù)后標(biāo)識的插入點）和“已添加”（在將新參數(shù)添加到請求后標(biāo)識的插入點）。它還標(biāo)識嵌套插入點（編碼插入點，在解碼時顯示其他插入點），并按層次結(jié)構(gòu)顯示這些插入點。該面板還顯示每個插入點的狀態(tài)，例如“掛起”、“已審核”或“已跳過”，以反映掃描儀根據(jù)掃描配置和插入點的行為執(zhí)行的操作。

改進了 Burp Suite 中表格的可用性

我們繼續(xù)推出主要的可用性改進，包括 Intruder 和 Proxy 數(shù)據(jù)表。除了排序和篩選之外，您現(xiàn)在還可以：

更改列的順序。

隱藏列。

Burp 會記住您對表格布局所做的更改，并在您在計算機上創(chuàng)建新項目或打開現(xiàn)有項目時應(yīng)用您的首選項。

本機 Windows ARM64 內(nèi)部版本

我們將推出適用于 Windows 的本機 ARM64 版本，該版本經(jīng)過優(yōu)化，可在 ARM64 設(shè)備上獲得更好的性能。您可以直接從我們的網(wǎng)站下載新版本，如果您在啟用了自動更新的 ARM 計算機上使用 x64 版本，您將在將來的更新中自動升級到 ARM64 版本。

性能改進

我們正在對 Burp Suite Professional 進行多項性能改進。在此版本中，我們減少了 Burp Scanner 在審核階段創(chuàng)建的瀏覽器數(shù)量，從而降低了對系統(tǒng)資源的需求，同時保持了掃描速度。

其他改進

在 Burp Suite Professional 中，我們在標(biāo)簽欄中添加了一個新的搜索圖標(biāo)，以幫助使搜索功能更易于訪問。此更改不會影響 Burp Suite Community Edition。

我們重新引入了“目標(biāo)>范圍”選項卡，以幫助使其更易于訪問。它仍然可以通過設(shè)置菜單訪問。

我們更新了儀表板，以確保任何應(yīng)用的過濾器現(xiàn)在都會影響哪些通知顯示在底部 Dock 選項卡中。這意味著將不再顯示不相關(guān)的通知。

我們調(diào)整了事件日志的敏感度，以便啟動時始終出現(xiàn)的消息（如“代理正在運行”通知）現(xiàn)在記錄在調(diào)試級別。

我們增強了“更新準(zhǔn)備安裝”通知，包括新功能的簡短說明，以及指向詳細(xì)發(fā)行說明的鏈接。

我們在 GraphQL 選項卡中為查詢添加了語法突出顯示和自動縮進功能，使其更易于讀取、寫入和編輯查詢。

我們已將“啟動響應(yīng)計時器”列添加到 HTTP 歷史記錄表中。這使您能夠監(jiān)視響應(yīng)開始所需的時間。

Bug 修復(fù)

我們修復(fù)了幾個 bug，包括：

選項卡上的拖動敏感度過高，導(dǎo)致選項卡意外分離到單獨的窗口中。

RequestOptions在蒙托亞 API 中未按預(yù)期工作。

使用 Montoya API 將項添加到范圍未按預(yù)期工作。

WOFF2 內(nèi)容類型被錯誤地識別，導(dǎo)致錯誤的“內(nèi)容類型錯誤陳述”漏洞。

關(guān)閉項目文件時，注釋和突出顯示有時會丟失。

瀏覽器升級

我們已將 Burp 的內(nèi)置瀏覽器升級到 121.0.6167.160（適用于 Mac 和 Linux）以及 121.0.6167.160/161（適用于 Windows）。有關(guān)更多信息，請參閱 Chromium 發(fā)行說明。