网络通信 频道

使用Burp Proxy对Web应用程序进行调试

  问:什么是“Burp Proxy”?它是使用在大型企业环境中呢,还是仅仅为中小型企业以及消费者而设计的呢?

  Burp Proxy是免费版和专业版Burp Suite的核心部分,它是一个用于调试以及对网络应用程序进行安全检测的集成平台。从性能和安全的角度来看,它无疑可以在企业层面上发挥一定的作用,同时对于那些想要看清网络应用程序如何工作的人来讲,它也是一个有用的工具。特别是渗透测试者会发现它很有帮助,因为它是由一个渗透测试者开发出来的,所以它的许多功能适用于这类工作。

  Burp Proxy是一个交互式的HTTP和HTTPS协议服务器,它充当着浏览器和网络服务器的中间人角色。这意味着它可以拦截、查看和修改在这两者之间传递的流量。这种修改浏览器请求的能力,使得测试者可以发现应用程序如何工作并处理意外或者恶意的请求,比如SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等。

  它具有许多功能。例如,当图片和视频正在传输时,你可以处理它们的二进制数据。虽然输出包括了请求和应答的自动着色语法,但通过使用基于域、IP地址、cookies、正文内容以及HTML页标题等各种参数的过滤器,使用者可以修改网络请求和响应,以此来控制哪些请求和应答需要被拦截下来进行人工测试。所有请求和做出的修改都保存在历史记录里,还可以保存到一个文件中,用于进一步的分析或者提供审核线索。

  Burp Proxy也与Burp Suite中的其它工具紧密集成,所以任何请求或者应答都可以被发送给其它工具用于进一步的处理。Burp Suite的两个版本都包含一个用于映射网站的spider工具,它通过记录所有通过Burp Proxy发出的请求来建立一个详细的站点地图。由此产生的站点地图可以用于选择某些项目,并把它们发送给其它的Burp工具,用于分析或者把它作为一次攻击测试的一部分。这些工具可以在一起协同工作,这加快了人工或者自动测试的速度。

  Burp在Linux和Windows上均可运行,而且你还可以使用IBurpExtender接口来开发你自己的插件,从而拓展它的功能。专业版的价格是每个用户每年275美元,同时它包括一些额外的工具,比如一个应用程序漏洞扫描器,以及一个用于执行定制攻击来发现和利用罕见漏洞的入侵者工具。如果你有兴趣尝试使用Burp的话,可以在PortSwigger网站上下载免费的版本使用一下。

0
相关文章