Burp Suite，或者常簡稱Burp，
是一款用於web安全測試的強大工具，
如果有安裝Kali Linux，或是未來打算安裝Kali的，
可以注意到桌面左側快速啟動圖示裡面其中一個就是Burp，
我想這也算是足以證明它好用又強大的證據之一。

這套工具其實算是我滿熟悉常用的工具之一，
但是因為太過於強大、功能多，並且也不算簡易入門，
所以內容沒有甚麼教學，純粹扼要介紹，
如果要學習更多內容一樣網路很多教學der。

Burp是一個用於測試Web應用程式安全性的圖形化工具。
使用Java編寫，由PortSwigger Web Security開發。
該工具有三個版本，可以看看下列官網頁面：
https://portswigger.net/burp

我相信一般人都是使用免費的Community版本，
那有趣的是可以注意到有收費的有Enterprise跟Professional，
雖然一個有比較貴不過沒有限定一個user使用，並且兩個版本的內容功能是不同的。

Burp這套工具我是不確定黑帽駭客攻擊與滲透時是不是會用，
但是在資安圈做滲透測試的話這套工具幾乎是不可或缺的好用工具，
當然工具很多，Burp包含的同樣功能一定找得到也都會有其他工具有，
很多時候都是用習慣的問題而已，
不過Burp就已經包含了很多功能，我是覺得值得好好學一下這套工具。

以我自己來說，除了攔截觀察看看HTTP Request/Response
最常使用的大概是修改HTTP Request內容跟Intruder暴力破解。

Burp Suite功能概要如下：
(以下大致參考維基百科)

• Proxy: 使Burp作為Web proxy運行，並且位於瀏覽器和目標 Web server之間。
  可以利用這種方式從Burp攔截、檢查和修改在兩個方向上通過的HTTP內容。
• Scanner: Web 應用程式安全掃描器，用於執行 Web 應用程式的自動漏洞掃描。
• Intruder: 可以利用Intruder進行暴力破解攻擊。也可以檢測 SQL Injection、XSS等等漏洞。
• Spider: 網站爬蟲，自動抓取 Web 應用程式的工具，可以幫助你建立網站Map。
• Repeater: 可以用來手動測試HTTP Request的簡單功能，可以修改Request內容的請求，重新發送並觀察結果。
• Decoder: 將已編碼的數據轉換為其規範形式，或將原始數據轉換為各種編碼和散列形式的工具。
• Comparer: 在任意兩個數據項之間執行比較（一個可視化的「差異」）的工具。
• Extender: 允許加載 Burp 擴展，使用安全測試人員自己的或第三方代碼（BAppStore）擴展 Burp 的功能
• Sequencer: 分析數據項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的數據項，如反 CSRF 令牌、密碼重置令牌等。

本文亦發布於筆者網站
https://hackercat.org/ithelp/ithelp-2019-day10-burp-suite