现代网络越来越复杂。每年都会出现新的框架、技术和设计趋势，更不用说漏洞了。所有这些困难，都增加了您的测试工作量。这也使得 AppSec 对于初学者来说比较困难，因为他们缺乏在简单时代操作的经验。但借助Burp Suite Professional，可以帮助更快修复漏洞，同时节省您的上手时间。

Burp Suite 最新版下载

Burp Suite Pro 如何帮助您测试现代网络

Burp Suite Professional 在处理现代 Web 应用程序时可以通过多种方式让测试人员的工作变得更加轻松，以下是我们最近推出的三个主要功能：

测试 HTTP/2

现在谈论 Burp Suite 的功能集时，不提及 HTTP/2 测试 。到目前为止，HTTP/2 的攻击面几乎没有被审计过 - 因为完全缺乏任何合适的工具 

我们现在添加了许多与PortSwigger Research共同开发的便捷的手动 HTTP/2 测试功能。其中包括执行我们首创的 HTTP/2 独占攻击的能力，这些攻击无法使用 HTTP/1 来表示。当然，Burp Scanner现在能够自动执行这些攻击。

扫描 API 端点

单页应用程序 (SPA) 的兴起与对 API 和微服务的日益依赖相伴而生，而这又创造了大量新的攻击面。为了说明这一点，Okta 最近引用了 Gartner 的预测，API 滥用将成为最常见的攻击媒介，导致企业应用程序数据泄露。

Burp Scanner已具备扫描 API 安全漏洞的能力-自动解析以 JSON 编写的 OpenAPI v3 REST API 定义。这通常可以揭示传统扫描器可能遗漏的攻击面。API扫描功能将与 Burp Scanner 的JavaScript 扫描功能一起不断增强，并且随着扫描器的进一步开发，它将大大增强扫描器本身的功能。

突破复杂性

Burp Suite Professional 的嵌入式 Chromium 浏览器的推出对测试工作流程具有革命性意义 - 为许多新功能奠定了基础。基于嵌入式浏览器构建的功能包括DOM Invader、经过身份验证的扫描和JavaScript 扫描- 未来还会有更多功能。

除此之外，嵌入式浏览器还为 Burp Suite 用户提供了快速简便的开箱即用设置。只需打开嵌入式浏览器即可立即开始代理流量（包括 HTTPS）。所有必要的代理侦听器设置都会自动调整，无需手动安装 CA 证书。

Burp Suite Professional 功能

• 爬虫- Burp Suite 2.0 的爬虫取代了 Burp 1.x 过时的 Spider，彻底改变了现代网络测试的格局。这为 JS 扫描铺平了道路。
• API 扫描- （如上所述）Burp Scanner 现在可以自动解析许多 API 定义。这在测试基于微服务的应用程序时非常有用。
• 经过身份验证的扫描- （如上所述）使用 Burp Suite Pro 的嵌入式 Chromium 浏览器记录复杂的登录，并扫描许多现代网络应用程序的特权区域。
• JavaScript 扫描- （如上所述）Burp Suite 的嵌入式浏览器使其具有执行和扫描 JavaScript的能力- 从而减少了 SPA 的复杂性。
• 新的漏洞类别和扫描检查- 随时了解 PortSwigger Research 的最新漏洞 - 包括HTTP/2 独有的威胁。
• 并行扫描-同时扫描目标的多个区域- 如果需要，可以独立设置扫描配置和优先级。
• 改进的资源管理- 我们引入了许多功能来帮助您管理 Burp 的系统资源使用并对其进行微调以适合您的机器。
• 扫描配置库-管理您自己的扫描类型库以供在不同情况下使用 - 包括自定义配置。
• 自动化任务的仪表板视图-仪表板选项卡为您提供了一个可以监视、控制、暂停和重新排序 Burp Suite Pro 自动化活动的地方。
• 合并站点范围内的被动问题- Burp Scanner 现在将默认合并广泛被动检测到的问题- 使其更易于评估。

下载最新版本的 Burp Suite Professional以访问所有这些功能及更多功能。

DOM Invader 使用 Burp Suite 的嵌入式 Chromium 浏览器使 DOM XSS 测试变得更加容易。

手动功能可帮助您更快地进行测试

• 嵌入式浏览器- 在 Burp 中嵌入 Chromium 启用了本文中的许多功能。它还使初学者的工作变得更加轻松 - 因为在通过嵌入式浏览器代理流量之前无需进行任何配置。
• HTTP/2 功能- （如上所述）我们添加了丰富的功能来帮助您测试 HTTP/2 漏洞 - 包括轻松“拦截”请求的能力。
• DOM Invader -（如上所述）与 PortSwigger Research 密切合作设计，DOM Invader使用 Burp 的嵌入式浏览器使DOM XSS更容易被找到。
• 记录器- 应大众需求，Burp Suite 的桌面版现在包含本机日志记录功能- 为您提供所有 Burp 生成的 HTTP 流量的记录。
• WebSocket 消息-拦截和编辑 WebSocket 消息- 包括重新配置用于创建 WebSocket 的协商请求的能力。
• 将 Intruder 攻击保存在项目文件中- 您现在可以将使用 Burp Intruder 发起的攻击保存到项目文件中。在处理大型项目时，这非常方便。
• 消息检查器-检查器使消息编辑器可以访问许多 Burp Suite 功能，而无需切换选项卡。它包括自动解码等有用功能。

Burp Suite Professional 其他功能

• 进一步的 SPA 扫描功能- 通过自动审核使用 XHR 或 Fetch 发出的范围内的 API 请求，Burp Scanner 将利用更多的 SPA 攻击面。
• 新的 SSTI 扫描检查- 使用 Burp Scanner 检测更广泛的模板引擎中的服务器端模板注入（SSTI） ，并使用OAST检查盲 SSTI 。
• 更多针对 HTTP/2 的手动测试功能- 包括 Burp Repeater、Extender 和 Inspector 中的额外支持。更有效地测试 HTTP/2。
• Burp Scanner 速度增强- 对 Burp Scanner 的默认设置进行微调，以实现更快的扫描而不影响覆盖范围。
• 数据格式内的有效负载- 进行 API 调用时，JSON 和 XML 中的 Burp Scanner 有效负载的放置和编码将得到改进 - 从而增强可靠性。
• 检查器改进- 根据与 Burp Suite 用户的讨论，将开发消息检查器以进一步提高手动测试的效率。
• 消息编辑器改进- 再次根据 Burp Suite 用户社区的反馈，我们将寻求微调消息编辑器的可用性。
• 记录器改进- 包括将日志导出为 CSV 文件以供外部使用的能力。

Burp Suite Professional 用户界面已经进行了彻底改造 - 现在包括暗模式等功能。

Burp Suite Professional 强调其最重要的特点是用户本身，而非可自动化的功能。为了帮助用户更好地使用，Burp Suite推出了新的“Learn”标签、改进了界面设计，并提供了一系列视频教程和入门指南，尤其针对新用户。慧都提供Burp Suite 免费试用、正版授权、最新下载等支持，如您有需要，欢迎咨询在线客服获取哟~