什么是"Burp Proxy"

Burp Proxy是免費版和專業版Burp Suite的核心部分，它是一個用于調試以及對網絡應用程序進行安全檢測的集成平臺。

Burp Proxy是為企業及消費者而設計

從性能和安全的角度來看，它無疑可以在企業層面上發揮一定的作用，同時對于那些想要看清網絡應用程序如何工作的人來講，它也是一個有用的工具。特別是滲透測試者會發現它很有幫助，因為它是由一個滲透測試者開發出來的，所以它的許多功能適用于這類工作。

Burp Proxy是一個交互式的HTTP和HTTPS協議服務器，它充當著瀏覽器和網絡服務器的中間人角色。這意味著它可以攔截、查看和修改在這兩者之間傳遞的流量。這種修改瀏覽器請求的能力，使得測試者可以發現應用程序如何工作并處理意外或者惡意的請求，比如SQL注入、cookie破壞、會話劫持、目錄遍歷以及緩沖區溢出等。

它具有許多功能。例如，當圖片和視頻正在傳輸時，你可以處理它們的二進制數據。雖然輸出包括了請求和應答的自動著色語法，但通過使用基于域、IP地址、cookies、正文內容以及HTML頁標題等各種參數的過濾器，使用者可以修改網絡請求和響應，以此來控制哪些請求和應答需要被攔截下來進行人工測試。所有請求和做出的修改都保存在歷史記錄里，還可以保存到一個文件中，用于進一步的分析或者提供審核線索。

Burp Proxy也與Burp Suite中的其它工具緊密集成，所以任何請求或者應答都可以被發送給其它工具用于進一步的處理。Burp Suite的兩個版本都包含一個用于映射網站的spider工具，它通過記錄所有通過Burp Proxy發出的請求來建立一個詳細的站點地圖。由此產生的站點地圖可以用于選擇某些項目，并把它們發送給其它的Burp工具，用于分析或者把它作為一次攻擊測試的一部分。這些工具可以在一起協同工作，這加快了人工或者自動測試的速度。

Burp在Linux和Windows上均可運行，而且你還可以使用IBurpExtender接口來開發你自己的插件，從而拓展它的功能。專業版的價格是每個用戶每年275美元，同時它包括一些額外的工具，比如一個應用程序漏洞掃描器，以及一個用于執行定制攻擊來發現和利用罕見漏洞的入侵者工具。如果你有興趣嘗試使用Burp的話，可以在PortSwigger網站上下載免費的版本使用一下。

【編輯推薦】

1. Web應用程序防火墻（WAF）將無處不在
2. 改善Web應用程序開發的7個技巧
3. 九個免費的安全工具
4. 企業網絡用開源安全工具挖掘漏洞漫談