Burp Suite是目前最常用的 Web 應用安全測試平台之一。以Intercepting Proxy為核心，延伸出一整套工具，支援人工互動式測試、半自動化與完全自動化掃描。

Burp 有幾個主要產品線：Community（免費）、Professional（付費、以滲透測試者為主）、以及面向自動化掃描與大量掃描需求的 Enterprise。

版本差別

• Community：
  • 基本的攔截代理、Repeater、Decoder、Comparer 等核心工具
  • 功能受限（沒有自動掃描、Intruder 範圍有限、無專業支援）
  • 適合學習與手動分析
• Professional：
  • 完整互動工具、被動與主動掃描器（Scanner）、高級 Intruder、內容發現、Report 匯出、與更多自定義選項
  • 為滲透測試實務常用版本
• Enterprise：
  • 用於大規模自動化掃描、排程、CI/CD 整合、團隊管理與集中報告
  • 適合企業級安全掃描自動化。

核心工具

攔截/流量處理

• Proxy：
  • 核心功能，攔截並檢視／修改瀏覽器與目標伺服器間的 HTTP/HTTPS 請求與回應
  • 支援設定攔截規則、match-and-replace、SSL/TLS 代理（自簽憑證安裝），並支援 WebSocket 與 HTTP/2。
• Target：
  • 自動整理與視覺化偵測到的 URL、端點、參數、內容類型與結構（sitemap）
  • 便於資產盤點與手動審查。
• Logger / History（歷史紀錄）：
  • 紀錄所有請求與回應，支援搜尋、標記與備註。

手動測試輔助

• Repeater：
  • 對單一請求做手動修改、反覆發送與觀察回應
  • 適合測試邏輯漏洞、參數操作、輸入驗證等。
• Intruder：
  • 在已知請求中插入多組 payload 進行自動化測試（字典爆破、模糊測試、參數變換等）。
  • 提供多種攻擊策略（Sniper、Battering Ram、Pitchfork、ClusterBomb 等）
  • 並可設定 payload 類型與處理規則。（Professional版本 才有進階功能）
• Sequencer：
  • 分析隨機數據或 token 的熵與可預測性
  • 常用於 session token 或 CSRF token 的強度測試。
• Decoder：
  • 編碼/解碼、轉換常見格式（Base64、URL-encoding、Hex、HTML entities 等）
  • 可做快速 bit/byte 操作。
• Comparer：
  • 比對兩份請求或回應的差異（hex 與文字比對視圖）
  • 用於辨識行為差別或回應差異

自動化掃描與發現（Professional / Enterprise）

• Scanner：
  • 自動化發現常見 Web 漏洞（如 SQLi、XSS、CSRF、文件洩露、敏感資訊等）
  • 含被動式與主動式掃描能力，並會產生詳細的 issue 報告（含漏洞描述、風險等級、重現步驟與修補建議）
  • 專業版有更多掃描檢查與細節設定
• Spider / Crawler：
  • 自動地爬取應用連結、表單與端點，建立完整 sitemap。
  • 新版 Burp 中爬蟲功能整合在 Target / Scanner 或內容發現工具內。
• Content discovery / Fuzzer：
  • 自動目錄或參數掃描、測試各類輸入點。

會話管理與自動化流程

• Session handling / Macros：
  • 可設定登入流程（macro）以自動處理需要身份驗證的掃描情境
  • 或在遇到驗證跳轉時自動重播認證流程以維持掃描連線。
• Intruder 與 Scanner 的自定義 payload 處理、篩選與排程：
  • 支援 payload processing rules（如替換、編碼）與多工攻擊排程。

後續分析、報告與整合

• Issues & Reporting：
  • 匯整掃描結果，生成可導出的報告（HTML、XML、JSON 等）
  • 供管理層或修補團隊使用。
• Alerts / Notifications :
  • 提供掃描排程、通知、集中式報表與多使用者儀表板。
• CI/CD & API：
  • 透過 API 將 Burp 掃描納入持續整合流程（例如自動啟動掃描、取得掃描結果）。

協助式 & 進階工具

• Burp Collaborator：
  • 外部交互式測試平台，用來偵測盲性 SSRF、盲性命令執行、DNS/HTTP 回連等
  • 透過發送可識別的外部回連，觀察目標是否與 Burp Collaborator 伺服器互動
• Extender：
  • 支援第三方擴充（Extensions）以新增功能或與其他工具整合
  • Extensions 可以用 Java、Python（Jython）或 Ruby 撰寫
• Turbo Intruder：
  • 針對大量請求/高速 fuzz 的工具，適合大量自定義payload 或分布式測試場景
• Project / State management：
  • 支援 project files，保存工作狀態、歷史、配置與證書，便於團隊接續作業

常見應用情境

• 互動式漏洞驗證：攔截可疑請求、修改參數，觀察伺服器行為差異。
• 自動掃描：在授權情況下對 Web 應用執行廣泛漏洞掃描並輸出問題清單。
• Session 與身份驗證測試：分析 token 隨機性、測試 session 固定、測試會話管理設計弱點（使用 Sequencer/Scanner/Proxy）。
• 社交工程載入測試：分析表單、檔案上傳、API 呼叫與 request/response flow。
• 自動化在 CI/CD：企業版可在部署流程中自動掃描網站，快速回饋開發團隊。

擴充性

• BApp Store：官方與社群提供大量擴充功能（驗證器、內容解析器、特定漏洞檢測器等）。
• API 與 CLI：Professional/Enterprise 提供某些 API 或 headless 模式，可整合到自動化流程或自訂工具鏈。
• 與其他工具整合：可與 Nmap、OWASP ZAP、各種 fuzzers、SIEM 與漏洞管理系統整合（以報告或輸出作為橋接）。