現代網絡越來越復雜。每年都會出現新的框架、技術和設計趨勢，更不用說漏洞了。所有這些困難，都增加了您的測試工作量。這也使得 AppSec 對于初學者來說比較困難，因為他們缺乏在簡單時代操作的經驗。但借助Burp Suite Professional，可以幫助更快修復漏洞，同時節省您的上手時間。

Burp Suite 最新版下載

Burp Suite Pro 如何幫助您測試現代網絡

Burp Suite Professional 在處理現代 Web 應用程序時可以通過多種方式讓測試人員的工作變得更加輕松，以下是我們最近推出的三個主要功能：

測試 HTTP/2

現在談論 Burp Suite 的功能集時，不提及 HTTP/2 測試 。到目前為止，HTTP/2 的攻擊面幾乎沒有被審計過 - 因為完全缺乏任何合適的工具 ;

我們現在添加了許多與PortSwigger Research共同開發的便捷的手動 HTTP/2 測試功能。其中包括執行我們首創的 HTTP/2 獨占攻擊的能力，這些攻擊無法使用 HTTP/1 來表示。當然，Burp Scanner現在能夠自動執行這些攻擊。

掃描 API 端點

單頁應用程序 (SPA) 的興起與對 API 和微服務的日益依賴相伴而生，而這又創造了大量新的攻擊面。為了說明這一點，Okta 最近引用了 Gartner 的預測，API 濫用將成為最常見的攻擊媒介，導致企業應用程序數據泄露。

Burp Scanner已具備掃描 API 安全漏洞的能力-自動解析以 JSON 編寫的 OpenAPI v3 REST API 定義。這通常可以揭示傳統掃描器可能遺漏的攻擊面。API掃描功能將與 Burp Scanner 的JavaScript 掃描功能一起不斷增強，并且隨著掃描器的進一步開發，它將大大增強掃描器本身的功能。

突破復雜性

Burp Suite Professional 的嵌入式 Chromium 瀏覽器的推出對測試工作流程具有革命性意義 - 為許多新功能奠定了基礎。基于嵌入式瀏覽器構建的功能包括DOM Invader、經過身份驗證的掃描和JavaScript 掃描- 未來還會有更多功能。

除此之外，嵌入式瀏覽器還為 Burp Suite 用戶提供了快速簡便的開箱即用設置。只需打開嵌入式瀏覽器即可立即開始代理流量（包括 HTTPS）。所有必要的代理偵聽器設置都會自動調整，無需手動安裝 CA 證書。

Burp Suite Professional 功能

• 爬蟲- Burp Suite 2.0 的爬蟲取代了 Burp 1.x 過時的 Spider，徹底改變了現代網絡測試的格局。這為 JS 掃描鋪平了道路。
• API 掃描- （如上所述）Burp Scanner 現在可以自動解析許多 API 定義。這在測試基于微服務的應用程序時非常有用。
• 經過身份驗證的掃描- （如上所述）使用 Burp Suite Pro 的嵌入式 Chromium 瀏覽器記錄復雜的登錄，并掃描許多現代網絡應用程序的特權區域。
• JavaScript 掃描- （如上所述）Burp Suite 的嵌入式瀏覽器使其具有執行和掃描 JavaScript的能力- 從而減少了 SPA 的復雜性。
• 新的漏洞類別和掃描檢查- 隨時了解 PortSwigger Research 的最新漏洞 - 包括HTTP/2 獨有的威脅。
• 并行掃描-同時掃描目標的多個區域- 如果需要，可以獨立設置掃描配置和優先級。
• 改進的資源管理- 我們引入了許多功能來幫助您管理 Burp 的系統資源使用并對其進行微調以適合您的機器。
• 掃描配置庫-管理您自己的掃描類型庫以供在不同情況下使用 - 包括自定義配置。
• 自動化任務的儀表板視圖-儀表板選項卡為您提供了一個可以監視、控制、暫停和重新排序 Burp Suite Pro 自動化活動的地方。
• 合并站點范圍內的被動問題- Burp Scanner 現在將默認合并廣泛被動檢測到的問題- 使其更易于評估。

下載最新版本的 Burp Suite Professional以訪問所有這些功能及更多功能。

DOM Invader 使用 Burp Suite 的嵌入式 Chromium 瀏覽器使 DOM XSS 測試變得更加容易。

手動功能可幫助您更快地進行測試

• 嵌入式瀏覽器- 在 Burp 中嵌入 Chromium 啟用了本文中的許多功能。它還使初學者的工作變得更加輕松 - 因為在通過嵌入式瀏覽器代理流量之前無需進行任何配置。
• HTTP/2 功能- （如上所述）我們添加了豐富的功能來幫助您測試 HTTP/2 漏洞 - 包括輕松“攔截”請求的能力。
• DOM Invader -（如上所述）與 PortSwigger Research 密切合作設計，DOM Invader使用 Burp 的嵌入式瀏覽器使DOM XSS更容易被找到。
• 記錄器- 應大眾需求，Burp Suite 的桌面版現在包含本機日志記錄功能- 為您提供所有 Burp 生成的 HTTP 流量的記錄。
• WebSocket 消息-攔截和編輯 WebSocket 消息- 包括重新配置用于創建 WebSocket 的協商請求的能力。
• 將 Intruder 攻擊保存在項目文件中- 您現在可以將使用 Burp Intruder 發起的攻擊保存到項目文件中。在處理大型項目時，這非常方便。
• 消息檢查器-檢查器使消息編輯器可以訪問許多 Burp Suite 功能，而無需切換選項卡。它包括自動解碼等有用功能。

Burp Suite Professional 其他功能

• 進一步的 SPA 掃描功能- 通過自動審核使用 XHR 或 Fetch 發出的范圍內的 API 請求，Burp Scanner 將利用更多的 SPA 攻擊面。
• 新的 SSTI 掃描檢查- 使用 Burp Scanner 檢測更廣泛的模板引擎中的服務器端模板注入（SSTI） ，并使用OAST檢查盲 SSTI 。
• 更多針對 HTTP/2 的手動測試功能- 包括 Burp Repeater、Extender 和 Inspector 中的額外支持。更有效地測試 HTTP/2。
• Burp Scanner 速度增強- 對 Burp Scanner 的默認設置進行微調，以實現更快的掃描而不影響覆蓋范圍。
• 數據格式內的有效負載- 進行 API 調用時，JSON 和 XML 中的 Burp Scanner 有效負載的放置和編碼將得到改進 - 從而增強可靠性。
• 檢查器改進- 根據與 Burp Suite 用戶的討論，將開發消息檢查器以進一步提高手動測試的效率。
• 消息編輯器改進- 再次根據 Burp Suite 用戶社區的反饋，我們將尋求微調消息編輯器的可用性。
• 記錄器改進- 包括將日志導出為 CSV 文件以供外部使用的能力。

Burp Suite Professional 用戶界面已經進行了徹底改造 - 現在包括暗模式等功能。

Burp Suite Professional 強調其最重要的特點是用戶本身，而非可自動化的功能。為了幫助用戶更好地使用，Burp Suite推出了新的“Learn”標簽、改進了界面設計，并提供了一系列視頻教程和入門指南，尤其針對新用戶。慧都提供Burp Suite 免費試用、正版授權、最新下載等支持，如您有需要，歡迎咨詢在線客服獲取喲~