什么是"Burp Proxy"

Burp Proxy是免費版和專業(yè)版Burp Suite的核心部分，它是一個用于調(diào)試以及對網(wǎng)絡應用程序進行安全檢測的集成平臺。

Burp Proxy是為企業(yè)及消費者而設計

從性能和安全的角度來看，它無疑可以在企業(yè)層面上發(fā)揮一定的作用，同時對于那些想要看清網(wǎng)絡應用程序如何工作的人來講，它也是一個有用的工具。特別是滲透測試者會發(fā)現(xiàn)它很有幫助，因為它是由一個滲透測試者開發(fā)出來的，所以它的許多功能適用于這類工作。

Burp Proxy是一個交互式的HTTP和HTTPS協(xié)議服務器，它充當著瀏覽器和網(wǎng)絡服務器的中間人角色。這意味著它可以攔截、查看和修改在這兩者之間傳遞的流量。這種修改瀏覽器請求的能力，使得測試者可以發(fā)現(xiàn)應用程序如何工作并處理意外或者惡意的請求，比如SQL注入、cookie破壞、會話劫持、目錄遍歷以及緩沖區(qū)溢出等。

它具有許多功能。例如，當圖片和視頻正在傳輸時，你可以處理它們的二進制數(shù)據(jù)。雖然輸出包括了請求和應答的自動著色語法，但通過使用基于域、IP地址、cookies、正文內(nèi)容以及HTML頁標題等各種參數(shù)的過濾器，使用者可以修改網(wǎng)絡請求和響應，以此來控制哪些請求和應答需要被攔截下來進行人工測試。所有請求和做出的修改都保存在歷史記錄里，還可以保存到一個文件中，用于進一步的分析或者提供審核線索。

Burp Proxy也與Burp Suite中的其它工具緊密集成，所以任何請求或者應答都可以被發(fā)送給其它工具用于進一步的處理。Burp Suite的兩個版本都包含一個用于映射網(wǎng)站的spider工具，它通過記錄所有通過Burp Proxy發(fā)出的請求來建立一個詳細的站點地圖。由此產(chǎn)生的站點地圖可以用于選擇某些項目，并把它們發(fā)送給其它的Burp工具，用于分析或者把它作為一次攻擊測試的一部分。這些工具可以在一起協(xié)同工作，這加快了人工或者自動測試的速度。

Burp在Linux和Windows上均可運行，而且你還可以使用IBurpExtender接口來開發(fā)你自己的插件，從而拓展它的功能。專業(yè)版的價格是每個用戶每年275美元，同時它包括一些額外的工具，比如一個應用程序漏洞掃描器，以及一個用于執(zhí)行定制攻擊來發(fā)現(xiàn)和利用罕見漏洞的入侵者工具。如果你有興趣嘗試使用Burp的話，可以在PortSwigger網(wǎng)站上下載免費的版本使用一下。

【編輯推薦】

1. Web應用程序防火墻（WAF）將無處不在
2. 改善Web應用程序開發(fā)的7個技巧
3. 九個免費的安全工具
4. 企業(yè)網(wǎng)絡用開源安全工具挖掘漏洞漫談