Burp Suite Professional là bộ công cụ kiểm thử bảo mật web hàng đầu được các chuyên gia và tổ chức tin dùng. Được thiết kế để tối ưu hóa quy trình kiểm tra bảo mật, Burp Suite Professional giúp bạn tự động hóa các tác vụ lặp đi lặp lại, đồng thời cung cấp các công cụ bán tự động và thủ công mạnh mẽ để đi sâu vào mọi ngóc ngách của ứng dụng. Với khả năng vượt trội trong việc phát hiện các lỗ hổng theo danh mục OWASP Top 10 và các kỹ thuật tấn công mới nhất, sản phẩm này là giải pháp không thể thiếu để nâng cao mức độ an toàn cho ứng dụng web của bạn.
Tính năng nổi bật
Tìm thêm lỗ hổng, nhanh hơn
Tự động hóa thông minh kết hợp với các công cụ thủ công được thiết kế chuyên nghiệp giúp bạn tiết kiệm thời gian, tối ưu hóa quy trình làm việc và đạt được hiệu quả cao nhất trong công việc. Burp Scanner được thiết kế để kiểm tra các ứng dụng web hiện đại, giàu tính năng. Quét JavaScript, kiểm tra API và ghi lại các chuỗi xác thực phức tạp. Thử nghiệm bảo mật ứng dụng ngoài băng cực kỳ đáng tin cậy (OAST) có thể tìm thấy nhiều lỗ hổng vô hình, giúp giảm thiểu dương tính giả.
Thử nghiệm như một chuyên gia - với bộ công cụ đáng tin cậy của ngành
Vượt qua ranh giới của thử nghiệm bảo mật web bằng cách liên tục cập nhật từ PortSwigger Research. Các bản phát hành thường xuyên giúp bạn luôn dẫn đầu trong việc phát hiện các lỗ hổng mới. Hưởng lợi từ bộ công cụ được thiết kế và sử dụng bởi những người thử nghiệm chuyên nghiệp. Các tính năng năng suất như tệp dự án và chức năng tìm kiếm mạnh mẽ nâng cao hiệu quả và độ tin cậy. Đơn giản hóa tài liệu và quy trình khắc phục, tạo báo cáo dễ hiểu cho người dùng cuối.
Mở rộng khả năng của bạn
Tiếp cận vô số lời khuyên và hàng trăm tiện ích mở rộng BApp được viết sẵn từ cộng đồng người dùng Burp Suite Professional toàn cầu. API mạnh mẽ cho phép bạn truy cập vào chức năng cốt lõi của Burp Suite Professional, sử dụng nó để tạo tiện ích mở rộng của riêng bạn và tích hợp với công cụ hiện có. Tùy chỉnh cách bạn làm việc, từ chế độ tối đến cấu hình quét tùy chỉnh.
Tính năng
Các tính năng kiểm tra thâm nhập thủ công
- Chặn mọi thứ mà trình duyệt của bạn nhìn thấy: Một proxy/lịch sử mạnh mẽ cho phép bạn sửa đổi tất cả các giao tiếp HTTP(S) đi qua trình duyệt của mình.
- Quản lý dữ liệu điều tra: Tất cả dữ liệu mục tiêu được tổng hợp và lưu trữ trong sơ đồ trang web mục tiêu - với các chức năng lọc và chú thích.
- Phơi bày bề mặt tấn công ẩn: Tìm chức năng mục tiêu ẩn với chức năng khám phá tự động nâng cao cho nội dung "ẩn".
- Kiểm tra các cuộc tấn công clickjacking: Tạo và xác nhận các cuộc tấn công clickjacking cho các trang web dễ bị tấn công bằng công cụ chuyên dụng.
- Làm việc với WebSocket: Thông báo WebSockets có lịch sử cụ thể của riêng chúng - cho phép bạn xem và sửa đổi chúng.
- Phá vỡ HTTPS hiệu quả: Proxy thậm chí còn bảo mật lưu lượng HTTPS. Việc cài đặt chứng chỉ CA duy nhất của bạn sẽ xóa các cảnh báo bảo mật liên quan đến trình duyệt.
- Kiểm tra thủ công các lỗ hổng ngoài băng tần: Sử dụng ứng dụng khách chuyên dụng để kết hợp các khả năng ngoài băng tần (OAST) của Burp Suite trong quá trình thử nghiệm thủ công.
- Tăng tốc quy trình công việc chi tiết: Sửa đổi và phát hành lại các thông báo HTTP và WebSocket riêng lẻ, đồng thời phân tích phản hồi - trong một cửa sổ.
- Nhanh chóng đánh giá mục tiêu của bạn: Xác định kích thước của ứng dụng mục tiêu của bạn. Tự động liệt kê các URL tĩnh và động cũng như các tham số URL.
- Đánh giá sức mạnh mã thông báo: Dễ dàng kiểm tra chất lượng của tính ngẫu nhiên trong các mục dữ liệu dự định là không thể đoán trước (ví dụ: mã thông báo).
Các cuộc tấn công tự động nâng cao/tùy chỉnh
- Brute-forcing và Fuzzing nhanh hơn: Triển khai các chuỗi yêu cầu HTTP tùy chỉnh có chứa nhiều bộ tải trọng. Giảm triệt để thời gian dành cho nhiều nhiệm vụ.
- Truy vấn kết quả tấn công tự động: Thu thập kết quả tự động trong các bảng tùy chỉnh, sau đó lọc và chú thích để tìm các mục thú vị/cải thiện các cuộc tấn công tiếp theo.
- Xây dựng khai thác CSRF: Dễ dàng tạo các cuộc tấn công bằng chứng CSRF. Chọn bất kỳ yêu cầu phù hợp nào để tạo HTML khai thác.
- Tạo điều kiện kiểm tra thủ công sâu hơn: Xem đầu vào được phản ánh/được lưu trữ ngay cả khi lỗi không được xác nhận. Tạo điều kiện kiểm tra các sự cố như XSS.
- Quét khi bạn duyệt: Tùy chọn quét thụ động mọi yêu cầu bạn thực hiện hoặc thực hiện quét tích cực trên các URL cụ thể.
- Tự động sửa đổi thông báo HTTP: Cài đặt để tự động sửa đổi phản hồi. Khớp và thay thế các quy tắc cho cả phản hồi và yêu cầu.
Tự động quét tìm lỗ hổng
- Khai thác công nghệ AST tiên phong: Tín hiệu cao: tiếng ồn thấp. Quét bằng thử nghiệm bảo mật tiên phong, không ma sát, ngoài băng tần (OAST).
- Chinh phục các bề mặt tấn công phía máy khách: AST lai và công cụ phân tích JavaScript tích hợp giúp tìm ra lỗ hổng trong các bề mặt tấn công phía máy khách.
- Bảo hiểm lỗ hổng nhiên liệu với nghiên cứu: Logic quét tiên tiến từ Nghiên cứu PortSwigger kết hợp với phạm vi bảo hiểm của hơn 100 lỗi chung.
- Tinh chỉnh kiểm soát quét: Nhận quyền kiểm soát chi tiết, với phương pháp quét do người dùng điều khiển. Hoặc, chạy quét "trỏ và nhấp".
- Khắc phục lỗi hiệu quả: Mô tả tùy chỉnh và lời khuyên khắc phục từng bước cho mọi lỗi, từ PortSwigger Research.
- Định cấu hình hành vi quét: Tùy chỉnh những gì bạn kiểm tra và làm thế nào. Bỏ qua các bước kiểm tra cụ thể, tinh chỉnh các điểm chèn, v.v.
- Điều hướng các ứng dụng khó: Thu thập dữ liệu các mục tiêu phức tạp hơn. Trình thu thập thông tin của Burp Suite xác định vị trí dựa trên nội dung - không chỉ URL.
- Áp dụng hiệu quả IAST: Nhận dạng nguồn và báo cáo lỗ hổng được đơn giản hóa, với công cụ mã tùy chọn.
- Trải nghiệm tính năng quét dựa trên trình duyệt: Tính năng quét dựa trên trình duyệt đã và đang hướng tới phạm vi phủ sóng tốt hơn đối với các mục tiêu phức tạp như các ứng dụng trang đơn nặng AJAX.
Công cụ năng suất
- Phân tích thông điệp chuyên sâu: Hiển thị theo dõi, phân tích, tham khảo, khám phá và khắc phục trong trình chỉnh sửa HTTP giàu tính năng.
- Sử dụng cả cấu hình tích hợp và tùy chỉnh: Truy cập các cấu hình được xác định trước cho các tác vụ phổ biến hoặc lưu và sử dụng lại các cấu hình tùy chỉnh.
- Nhân lựa chọn dự án: Tự động lưu tất cả các dự án đang hoạt động vào đĩa và thêm cấu hình cho các dự án đã lưu trước.
- Làm cho mã dễ đọc hơn: Các định dạng mã in đẹp tự động bao gồm JSON, JavaScript, CSS, HTML và XML.
- Dễ dàng khắc phục kết quả quét: Xem nguồn, khám phá, nội dung và cách khắc phục đối với mọi lỗi, với dữ liệu ứng dụng tổng hợp.
- Đơn giản hóa báo cáo quét: Tùy chỉnh với các định dạng HTML/XML. Báo cáo tất cả các bằng chứng được xác định, bao gồm cả chi tiết vấn đề.
- Tăng tốc chuyển đổi dữ liệu: Giải mã hoặc mã hóa dữ liệu, với nhiều thao tác tích hợp sẵn (ví dụ: Hex, Octal, Base64).
So sánh
| Burp Suite Enterprise Edition | Burp Suite Professional |
|---|
| What will it do for us? | - Automate dynamic scanning to scale across many applications.
- Scale security testing.
- Integrate scans with CI/CD and achieve DevSecOps.
| - Accelerate penetration testing workflows.
- Enable faster and easier bug bounty hunting.
- Perform powerful manual testing.
|
| Who uses it? | - AppSec teams.
- Software development teams.
- CISOs and CTOs.
- AppSec centres of excellence.
| - Frontline AppSec engineers.
- Penetration testers.
- Bug bounty hunters.
|
| What are the key features? | - Fully automated scanning with simple point-and-click.
- Ability to run concurrent scans across infinite number of web applications.
- Integrating with CI/CD platforms.
- Integrating with bug tracking systems and vulnerability management platforms.
- Out-of-the-box scan configurations.
- Dashboards to see security posture for whole or part of organization.
- Role-based access control and single sign-on.
| - Burp Proxy for intercepting HTTP requests and responses.
- Complete toolbox of Burp tools for penetration testing including Burp Scanner, Burp Intruder, Burp Repeater, and Burp Sequencer.
- 250+ Burp Extensions (BApps) for customizing testing workflows.
|
| What scanning technology does it use? | - Burp Scanner - as trusted by over 60,000 users worldwide.
- Browser-powered scanning using embedded Chromium browser.
| - Burp Scanner - as trusted by over 60,000 users worldwide.
- Browser-powered scanning using embedded Chromium browser (on by default).
|
| What about integration? | - Universal integration with every CI platform.
- Exposed core functionality with a GraphQL-based API.
| - Designed for use by individual testers.
- Exposed functionality and data with a REST API.
|
| What's the output? | - Intuitive GUI dashboards with interactive scan results.
- Complete or application-specific views on organization security posture with folder and site-level dashboards.
- Expert remediation advice.
- CI/CD feedback for development teams.
- Integration with ticketing systems.
| - Powerful desktop interface aimed at security engineers.
- Expert remediation advice.
- HTML or XML scan reports.
|
| How can we control access? | - Role-based access control (RBAC).
- Single sign-on (SSO).
| Single user. No access control. |
| How can we deploy it? | - Standard deployment using an interactive installer.
- Kubernetes deployment using a Helm chart.
| Local installation only. |
| What about licensing and scalability? | - No limit to number of users per license. Designed for organizations.
- Licensed by the number of concurrent scans you wish to perform.
- No limit on the number of distinct applications you can scan.
| Licensed for individual users. |
Thông số kỹ thuật
| Manufacturer/ Nhà sản xuất | PortSwigger |
|---|
| Header / Localization/ Khu vực kích hoạt | Toàn cầu |
|---|
| Category/ Danh mục sản phẩm | Phần mềm bảo mật |
|---|
| Part Number (P/N)/ Mã sản phẩm | - |
|---|
| Collections/ Dòng sản phẩm | - |
|---|
| Packaged Quantity/ Số lượng đóng gói | 1 cho đến nhiều, theo yêu cầu đặt hàng |
|---|
| Software / Version/ Phiên bản | Mới nhất |
|---|
| Language/ Ngôn ngữ | English/ đa ngôn ngữ |
|---|
| Distribution Media/ Đóng gói | - |
|---|
| Operating System/ Platform/ Nền tảng sử dụng | - |
|---|
| Product Type/ Loại sản phẩm | Subscription License |
|---|
| Software / License Type/ Loại giấy phép | New/ Renew/ Upgrade/ Extend/ Maintenance & Support |
|---|
| Length of term/ Thời hạn bản quyền | Thuê bao |
|---|
| License management/ Quản lý bản quyền | - |
|---|
| Customer secition/ Đối tượng khách hàng | Doanh nghiệp |
|---|
| Advanced version/ Phiên bản cao cấp hơn | |
|---|
| Comparison/ So sánh sản phẩm | Xem mô tả so sánh hoặc tài liệu đính kèm |
|---|
| Service & Support Basic/ Dịch vụ và hỗ trợ cơ bản | |
|---|
| Service & Support Advance/ Dịch vụ và hỗ trợ nâng cao | Tư vấn hệ thống/ Triển khai cài đặt/ Hỗ trợ 1 năm/ Đào tạo sử dụng |
|---|
| How to buy/ Mua như thế nào? | Ký hợp đồng |
|---|
| Tax & handling fee/ Thuế VAT & phí xử lý | Phần mềm & dịch vụ phần mềm được miễn thuế VAT. Thuế, phí khác có thể được áp dụng tại thời điểm mua hàng theo quy định của NN. |
|---|
Cấp phép
Burp Suite Professional được cấp phép trên cơ sở mỗi người dùng - với người dùng có nghĩa là một cá nhân chứ không phải máy, hệ thống, người dùng đồng thời hoặc bất kỳ thứ gì khác - vì vậy bạn phải được cấp phép cho số lượng từng người từng sử dụng phần mềm. Tất cả những người sử dụng Burp Suite Professional cần phải đăng ký. Con số này có thể được chỉ định trong quá trình đặt hàng và được hiển thị trong chú thích của sản phẩm. Bạn không thể chia sẻ một đăng ký Burp Suite Professional giữa nhiều người dùng, ngay cả khi chỉ một người sử dụng nó tại một thời điểm. Để tránh nghi ngờ, "người dùng" có nghĩa là những cá nhân thực tế, không phải người dùng đồng thời hoặc cài đặt hoặc bất kỳ thứ gì khác.
Yêu cầu hệ thống
Các yêu cầu hệ thống đối với Burp Suite phần lớn phụ thuộc vào mục đích sử dụng phần mềm của bạn. Mặc dù nhìn chung bạn có thể thực hiện hầu hết các tác vụ trên máy có thông số kỹ thuật tương đối thấp, nhưng một số trường hợp sử dụng (ví dụ: chạy nhiều lần quét đồng thời) có thể yêu cầu nhiều năng lượng hơn để chạy mà không ảnh hưởng đáng kể đến hiệu suất.
PU cores / memory
- Minimum: 2x cores, 4GB RAM - This spec is suitable for basic tasks such as proxying web traffic and simple Intruder attacks. While Burp Suite may run on a machine with a lower specification than this, we do not recommend doing so for performance reasons.
- Recommended: 2x cores, 16GB RAM - This is a good general-purpose spec.
- Advanced: 4x cores, 32GB RAM - This spec is suitable for more intensive tasks, such as complex Intruder attacks or large automated scans.
Free disk space
- Basic installation: 1GB
- Per project file: 2GB
Note: While 2GB is the recommended minimum free disk space for a project, note that project files can get significantly larger than this (potentially up to many tens of GB), depending on factors such as the amount of proxy history included, the number of scans run, and the number of Repeater tabs open.
Operating system and architecture
Burp Suite supports the latest versions of the following operating systems:
- Windows (Intel 64-bit)
- Linux (Intel and ARM 64-bit)
- OS X (Intel 64-bit and Apple M1)
