目录导航
Burp Suite官方使用文档更新于2021年10月6日.
使用文档官网地址
https://portswigger.net/burp/documentation/contents
目录列表
中文翻译:
文档
桌面版
入门
使用 Burp 代理拦截 HTTP 流量
拦截请求
在 Burp Proxy 中修改请求
使用 Burp Repeater 重新发布请求
向 Burp Repeater 发送请求
使用 Burp Repeater 测试不同的输入
运行您的第一次扫描
扫描网站
生成报告
激活许可证
手动激活
从命令行启动
检查您的 Java 版本
启动 Burp Suite JAR
命令行参数
启动向导
选择项目
从不同的 Burp 安装打开一个项目
选择配置
接下来是什么?
继续您的 Burp Suite 之旅
视频教程
拦截 HTTP 请求和响应
使用 Burp Repeater 重新发送单个请求
扫描网站的漏洞
在 Burp Suite 中使用实时任务
使用 Burp Suite 项目
使用 Burp Suite 项目选项
浏览 Burp Suite 用户界面
使用 Burp Proxy 的拦截规则
在 Burp Suite 中使用目标范围
使用 Burp Suite 测试 WebSockets
扫描网站
启动扫描
配置扫描
监控扫描活动
报告
浏览器驱动的扫描
如何启用浏览器驱动的扫描
浏览器驱动扫描的系统要求
Linux 上的浏览器驱动扫描
记录的登录
记录登录序列的限制
如何记录 Burp Scanner 的登录顺序
使用外部浏览器记录登录序列
如何测试记录的登录序列
对记录的登录序列进行故障排除
扫描启动器
扫描详情
扫描配置
应用程序登录选项
使用登录凭据
使用记录的登录序列
资源池选项
实时扫描
实时扫描配置
现场审核
实时被动抓取
抓取选项
抓取优化
最大链接深度
爬取策略
抓取限制
登录功能
爬虫如何识别登录和注册表单?
为什么爬虫不填写我的登录表单?
在抓取过程中处理应用程序错误
其他抓取设置
嵌入式浏览器选项
API扫描
API 扫描的先决条件
从 API 定义派生位置
API 扫描期间的参数处理
API 扫描的限制
审核选项
审计优化
报告的问题
在审计期间处理应用程序错误
插入点类型
修改参数位置选项
忽略的插入点
经常出现的插入点
其他插入点选项
JavaScript 分析选项
审核项目
审计阶段指标
审计项目注释
报告
报告格式
问题详情
HTTP 消息
选择问题类型
报告详情
渗透测试
测试工作流程
侦察和分析
工具配置
漏洞检测和利用
阅读更多
HTTP/2
背景概念
默认协议
跟踪您使用的协议
更改请求的协议
处理请求
什么会导致请求变成水壶?
解除请求
Kettled 请求和扩展
HTTP/2 设置
更改默认协议
HTTP/2 的中继器选项
强制跨域重定向的协议选择
启用 HTTP/2 连接重用
通过 HTTP/2 剥离连接标头
为代理侦听器禁用 HTTP/2
Burp 即将推出的 HTTP/2 增强功能
手动测试具有隐藏 HTTP/2 支持的服务器
增加对水壶请求的支持
正常化
执行什么规范化?
为什么我不能移动 Host 标头?
发送没有任何规范化的请求
执行 HTTP/2-exclusive 攻击
将换行符注入标题
Burp 用户的 HTTP/2 基础知识
二进制协议
框架
消息长度
标题大小写
伪头
外部浏览器配置
检查代理侦听器是否处于活动状态
铬合金
火狐
苹果浏览器
IE浏览器
检查您的浏览器配置
安装 Burp 的 CA 证书
在移动设备上安装 Burp 的 CA 证书
为什么需要安装 Burp 的 CA 证书?
铬合金
从 Firefox 中删除 Burp 的 CA 证书
铬合金
在 Chrome 中安装 Burp 的 CA 证书 - Windows 和 MacOS
在 Chrome 中安装 Burp 的 CA 证书 - Linux
铬合金
从 Safari 中删除 Burp 的 CA 证书
铬合金
从 Internet Explorer 中删除 Burp 的 CA 证书
故障排除
检查 Burp 是否正在运行
检查您的代理侦听器是否处于活动状态
尝试不同的端口
接下来是什么?
移动测试
移动设备故障排除
即使安装了 Burp 的 CA 证书,我也无法在 iOS 上访问 HTTPS URL
可扩展性
项目
项目文件
保存项目的副本
保存 Burp Collaborator 标识符
导入项目
配置
配置库
用户和项目配置文件
加载和保存配置文件
配置文件格式
故障排除
解决性能问题
检查最低系统要求
识别潜在瓶颈:CPU、内存和网络
优化 CPU 使用率
禁用漂亮打印
禁用 JavaScript 分析
配置扫描以提高性能
缩小扫描范围
扫描单个协议
优化内存使用
禁用扩展
为 Java 机器分配更多内存
使用基于磁盘的项目
优化网络使用
减少并发扫描
配置资源池
成为早期采用者
仪表盘
任务详情
任务执行设置
任务自动启动
资源池
发行活动
发布活动注释
工具
目标
使用
手动应用程序映射
定义目标范围
查看未请求的项目
发现隐藏内容
分析攻击面
目标工具测试工作流程
目标站点地图
目标信息
站点地图视图
内容视图
问题视图
站点地图显示过滤器
站点地图注释
站点地图测试工作流程
比较站点地图
站点地图来源
请求匹配
反应比较
比较结果
范围
代理
入门
使用 Burp 代理
开始设置
拦截请求和响应
使用代理历史记录
Burp 代理测试工作流程
Burp Proxy 的关键配置选项
拦截消息
控件
消息显示
协议
历史
历史表
代理历史显示过滤器
代理历史注释
代理历史测试工作流
选项
代理侦听器
捆绑
请求处理
证书
导出和导入 CA 证书
创建自定义 CA 证书
TLS 协议
HTTP
拦截 HTTP 请求和响应
拦截 WebSocket 消息
响应修改
匹配和替换
TLS 传递
各种各样的
隐形代理
浏览器内界面
入侵者
入门
使用 Burp 入侵者
入侵者的工作原理
保存攻击
典型用途
枚举标识符
收集有用的数据
对漏洞进行模糊测试
目标
职位
请求模板
有效载荷标记
攻击类型
有效载荷
类型
简单清单
预定义的有效载荷列表
运行时文件
自定义迭代器
字符替换
案例修改
递归grep
非法 Unicode
字符块
数字
日期
蛮力者
空负载
人物盗贼
位翻转器
用户名生成器
欧洲央行区块洗牌器
扩展生成
复制其他有效载荷
加工
有效载荷处理规则
有效载荷编码
入侵者资源池
选项
保存选项
攻击请求头
错误处理
攻击结果选项
Grep - 匹配
Grep - 提取
Grep - 有效载荷
在攻击期间处理重定向
配置攻击
发起攻击
攻击结果
结果表
入侵者攻击显示过滤器
注释
Burp Intruder 测试工作流程
攻击配置选项卡
结果菜单
攻击菜单
保存菜单
列菜单
分析结果
中继器
使用 Burp 中继器
对 HTTP 消息使用 Burp 中继器
发送 HTTP 请求
HTTP 请求历史记录
将 Burp Repeater 与 WebSocket 消息一起使用
中继器选项
管理请求选项卡
选项
音序器
入门
随机性测试
字符级分析
位级分析
样品
实时捕捉
选择实时捕获请求
响应中的令牌位置
实时捕捉选项
运行实时捕获
手动加载
分析选项
令牌处理
代币分析
结果
概括
字符级分析结果
位级分析结果
结果分析选项
解码器
加载数据到解码器
转型
手动工作
智能解码
比较器
将数据加载到比较器中
进行比较
扩展器
加载和管理扩展
扩展详情
B应用商店
Burp 扩展器 API
扩展器选项
设置
Java环境
Python环境
红宝石环境
提交扩展
在您提交之前
提交您的扩展
审查扩展
更新您的 BApp
点击匪徒
运行 Burp Clickbandit
录音模式
复习模式
合作客户
使用 Burp Collaborator 客户端
手机助手
通过 Burp Suite 路由流量
绕过证书锁定
添加注入的应用程序
注入的应用列表
从崩溃中恢复
安装 Burp Suite 手机助手
记录器
记录和记忆
记录器功能
任务记录器
记录器配置
选项
捕获选项
查看选项
DOM入侵者
启用 DOM Invader
DOM 入侵者设置
增强的 DOM
注入金丝雀
改变金丝雀
识别可控源和汇
查看所有潜在的接收器
搜索增强的 DOM
研究堆栈跟踪
留言
启用网页消息拦截
邮件设置
查看截取的消息
查看消息详细信息
欺骗消息来源
通过网络消息注入金丝雀
自动生成新消息
重播网络消息
为 Web 消息漏洞生成概念证明
有用的功能
消息编辑器
消息分析工具栏
原始视图
漂亮的景色
十六进制视图
渲染视图
特定于扩展的视图
操作菜单
使用消息编辑器的其他方式
消息编辑器中的 HTTP/2 消息
特定于上下文的操作
文本编辑器
语法分析
漂亮的印刷
非打印字符
文本编辑器热键
快速搜索
检查员
请求属性
HTTP/2 标头和伪标头
使用上下文菜单
在检查器中处理编码数据
自动解码
解码选定的字符
编辑编码数据
在 Inspector 中处理单个角色
注入非打印字符
嵌入式浏览器
使用 Burp 的嵌入式浏览器进行手动测试
使用 Burp 的嵌入式浏览器扫描网站
嵌入式浏览器健康检查
搜索
文字搜索
查找评论和脚本
查找参考资料
目标分析器
内容发现
控制
目标
文件名
文件扩展名
发现引擎
站点地图
任务调度器
生成 CSRF PoC
CSRF PoC 选项
URL匹配规则
正常范围控制
高级范围控制
响应抽取规则
手动测试模拟器
选项
项目选项
用户选项
钥匙
连接
平台认证
上游代理服务器
袜子代理
超时
主机名解析
超出范围的请求
HTTP
重定向
流式响应
状态 100 响应
HTTP/2
TLS
TLS 协商
Java TLS 选项
客户端 TLS 证书
服务器 TLS 证书
会话
会话处理挑战
会话处理规则
会话处理跟踪器
饼干罐
宏
与 Burp 工具集成
规则编辑器
规则说明
规则操作
使用会话处理 cookie jar 中的 cookie
设置特定的 cookie 或参数值
检查会话是否有效
浏览器内会话恢复提示
运行宏
运行请求后宏
调用 Burp 扩展
工具范围
网址范围
参数范围
宏编辑器
录制宏
配置宏项
饼干处理
参数处理
响应中的自定义参数位置
重新分析宏
测试宏
其他项目选项
计划任务
Burp 协作服务器
日志记录
嵌入式浏览器项目选项
展示
用户界面
如何在 Burp Suite 中启用暗模式
HTTP消息显示
字符集
HTML 渲染
其他用户选项
热键
自动项目备份
REST API 选项
代理拦截
代理历史记录
临时文件位置
绩效反馈
将异常记录到本地目录
更新设置
留言搜索
嵌入式浏览器
企业版
Burp Suite 企业版入门
技术基础设施
使用 Burp Suite 企业版
一般管理任务
额外的配置和集成
Burp Suite 企业版中的故障排除
API参考
入门
您的部署选项
内部部署
激活您的许可证
部署到云端
自动售货机
主 CloudFormation 模板
嵌套模板
IAM CloudFormation 模板
如何在 AWS 上部署 Burp Suite Enterprise Edition
设置 IAM 角色
设置您自己的数据库(可选)
配置 VPC 安全组的连接设置
创建主堆栈
获取启动 Burp Suite Enterprise Edition 的 DNS 名称
设置路由并访问应用程序
天蓝色
Azure 资源管理器模板
Azure 资源管理器的嵌套模板
如何在 Azure 上部署 Burp Suite Enterprise Edition
设置数据库
为您的数据库创建资源组
创建数据库服务器
配置数据库连接设置
创建数据库和用户
将主堆栈部署到 Azure
覆盖默认值(可选)
创建服务主体
输入部署的其余详细信息
配置连接安全设置
设置路由并访问应用程序
故障排除
部署完成但 bsee-application 处于“失败”状态
如何从 Azure 中删除 Burp Suite Enterprise Edition?
分析扫描结果
创建新的初始管理员用户
准备安装
运行您的第一次扫描
设置外部数据库
数据库设置脚本
PostgreSQL
微软 SQL 服务器
甲骨文
MariaDB / MySQL
数据库连接 URL 格式
MySQL 数据库故障排除
手动分发公钥
接下来是什么?
充分利用 Burp Suite 企业版
基础设施
核心组件
企业服务器
网络服务器
数据库
服务
代理和代理机器
服务
管理 Burp Suite Enterprise Edition 服务
列出正在运行的服务
停止运行服务
启动服务
代理商
代理机
代理机器池
要求
所需机器数
多机部署
要求
系统要求
一般要求
交换空间(仅限 Linux)
捆绑部署
外部代理机器
数据库和存储空间
支持的数据库版本
网络和防火墙配置
完全捆绑部署
多系统部署
支持的客户端浏览器
使用 Burp Suite 企业版
启动 Burp Suite 企业版
主页
使用网站
站点页面
创建站点
添加应用程序登录
添加登录凭据
添加记录的登录序列
Burp Suite 企业版中记录登录序列的限制
如何记录 Burp Suite 企业版的登录顺序
Burp Suite 企业版的记录登录序列故障排除
查看站点详细信息
站点级仪表板
扫描
问题
细节
网站网址
文件夹
查看文件夹详细信息
文件夹级仪表板
扫描
问题
使用扫描
扫描页面
扫描配置
在 Burp Suite Enterprise Edition 中创建自定义扫描配置
抓取选项
审核选项
连接选项
请求限制
创建扫描
浏览器驱动的扫描
如何为 Burp Suite Enterprise Edition 启用浏览器驱动的扫描
在 Linux 机器上启用浏览器驱动的扫描
查看扫描详细信息
计划扫描
运行和完成的扫描
失败的扫描
扩展
扩展库
为 Burp Suite 企业版添加扩展
添加扩展的先决权限
将 BApp 添加到 Burp Suite 企业版
为 Burp Suite 企业版添加自定义扩展
在 Burp Suite Enterprise Edition 中使用扩展
将扩展应用到新站点
将扩展应用到现有站点
查看扩展详细信息
删除扩展
为 Burp Suite Enterprise Edition 创建自定义扩展
扫描结果
查看问题详情
咨询
请求和响应
动态分析
处理误报
吉拉门票
监控您的进度
报告
下载扫描报告
报告类型
包括的严重性
误报
自动发送扫描总结报告
下载图表
下载事件日志
管理任务
其他配置和集成任务
一般管理任务
激活您的许可证
配置您的网络服务器
Web 服务器 URL 和端口号
启用 TLS
配置 HTTP 代理服务器
连接到 SMTP 服务器
向新创建的用户发送邀请
为扫描报告配置电子邮件收件人
与 Jira 集成
创建您的 Jira API 令牌(仅限云)
配置集成
手动创建 Jira 票证
与您的 CI/CD 平台集成
集成类型
详细说明
集成类型
站点驱动扫描
burp扫描
创建 API 用户
为 CI/CD 用户创建角色和组
创建 CI/CD API 用户
詹金斯
创建 API 用户
下载并安装插件
配置集成
站点驱动扫描
先决条件
将您的 Jenkins URL 列入白名单
在 Jenkins 中创建站点驱动的扫描构建步骤
测试您的集成
burp扫描
先决条件
在 Jenkins 中创建 Burp 扫描构建步骤
测试您的集成
团队城市
创建 API 用户
下载并安装插件
配置集成
站点驱动扫描
先决条件
将您的 TeamCity URL 列入白名单
在 TeamCity 中创建站点驱动的扫描构建步骤
测试您的集成
burp扫描
先决条件
在 TeamCity 中创建 Burp 扫描构建步骤
测试您的集成
其他
站点驱动扫描
先决条件
将构建步骤添加到您的管道
测试您的集成
burp扫描
先决条件
将构建步骤添加到您的管道
测试您的集成
参数参考
可选设置
使用本机平台插件配置可选设置
使用通用 CI/CD 驱动程序配置可选设置
覆盖 CI/CD 系统的默认扫描配置
忽略问题
启用 CORS
如何在 Burp Suite Enterprise Edition 中将 CORS 应用程序列入白名单
为什么我需要这样做?
部署额外的代理机器
设置新的代理机器
授权新的代理机器
分配代理
请求额外的代理
管理代理机器池
代理机池的特点
管理代理机器池
迁移到外部数据库
安装数据库传输工具
准备迁移
Oracle 数据库的先决步骤
迁移您的数据
重启服务
启用单点登录
LDAP
安全反洗钱
将 Burp Suite Enterprise Edition 添加到您信任的应用程序
从您的身份提供商处获取关键详细信息
输入您的身份提供者详细信息
其他身份提供程序配置
配置单点注销
额外的 ADFS 配置
创建中央索赔发布政策
分别为每个组创建声明规则
额外的 Okta 配置
其他 Azure AD 配置
配置用户权限
管理您的团队
用户
创建新用户
创建 API 用户
角色
团体
限制对网站的访问
管理您的证书
管理站点树
创建文件夹和子文件夹
将站点添加到文件夹
管理站点和扫描数据
自动为 API 生成的扫描创建站点
Burp Suite 企业版如何决定匹配哪些站点?
自动删除旧扫描
扫描增量
配置误报设置
备份您的数据
管理更新
离线更新
更新期间的停机时间
故障排除
下载日志
帮助中心
诊断
调试
支持包
API参考
GraphQL API
REST API
扫描器
爬行
核心方法
会话处理
检测应用程序状态的变化
应用登录
抓取易变内容
使用嵌入式浏览器抓取(浏览器驱动的扫描)
审计
审计阶段
问题类型
插入点
在插入点内编码数据
嵌套插入点
修改参数位置
自动会话处理
避免重复
整合经常出现的被动问题
处理频繁出现的插入点
JavaScript 分析
处理应用程序错误
burp协作者
什么是 Burp 协作者?
Burp Collaborator 的工作原理
协作者数据的安全性
使用 Burp Collaborator 的选项
部署私有服务器
封闭网络上的基本设置
一般设置步骤
安装和执行
协作服务器端口和防火墙规则
在非标准端口上运行
协作服务器资源
DNS 配置
协作者配置文件
TLS 配置
交互事件和投票
指标
协作者日志记录
测试安装
添加自定义 HTTP 内容
添加自定义 DNS 记录
服务器故障排除
burp渗透者
Burp Infiltrator 的工作原理
安装 Burp Infiltrator
非交互式安装
配置选项
内容
英文原版
Documentation
Desktop editions
Getting started
Intercepting HTTP traffic with Burp Proxy
Intercepting a request
Modifying requests in Burp Proxy
Reissuing requests with Burp Repeater
Sending a request to Burp Repeater
Testing different input with Burp Repeater
Running your first scan
Scanning a website
Generating a report
Activate license
Manual activation
Launch from the command line
Checking your Java version
Launching the Burp Suite JAR
Command line arguments
Startup wizard
Selecting a project
Opening a project from a different Burp installation
Selecting a configuration
What next?
Continue your Burp Suite journey
Video tutorials
Intercepting HTTP requests and responses
Resending individual requests with Burp Repeater
Scanning a website for vulnerabilities
Using live tasks in Burp Suite
Using Burp Suite projects
Using Burp Suite project options
Touring the Burp Suite user interface
Using Burp Proxy's interception rules
Using target scope in Burp Suite
Testing WebSockets with Burp Suite
Scanning web sites
Launching scans
Configuring scans
Monitoring scan activity
Reporting
Browser-powered scanning
How to enable browser-powered scanning
System requirements for browser-powered scanning
Browser-powered scanning on Linux
Recorded logins
Limitations for recorded login sequences
How to record a login sequence for Burp Scanner
Recording login sequences using an external browser
How to test a recorded login sequence
Troubleshooting recorded login sequences
Scan launcher
Scan details
Scan configuration
Application login options
Use login credentials
Use recorded login sequences
Resource pool options
Live scans
Live scan configuration
Live audit
Live passive crawl
Crawl options
Crawl optimization
Maximum link depth
Crawl strategy
Crawl limits
Login functions
How does the crawler identify login and registration forms?
Why is the crawler not filling my login forms?
Handling application errors during crawl
Miscellaneous crawl settings
Embedded browser options
API scanning
Prerequisites for API scanning
Deriving locations from an API definition
Parameter handling during API scans
Limitations for API scanning
Audit options
Audit optimization
Issues reported
Handling application errors during audit
Insertion point types
Modifying parameter locations options
Ignored insertion points
Frequently occurring insertion points
Misc insertion point options
JavaScript analysis options
Audit items
Audit phase indicators
Audit items annotations
Reporting
Report format
Issue details
HTTP messages
Selecting issue types
Report details
Penetration testing
Testing workflow
Recon and analysis
Tool configuration
Vulnerability detection and exploitation
Read more
HTTP/2
Background concepts
Default protocol
Keeping track of which protocol you're using
Changing the protocol for a request
Kettled requests
What can cause a request to become kettled?
Unkettling a request
Kettled requests and extensions
HTTP/2 settings
Changing the default protocol
Repeater options for HTTP/2
Enforce protocol choice on cross-domain redirections
Enable HTTP/2 connection reuse
Strip Connection header over HTTP/2
Disabling HTTP/2 for proxy listeners
Upcoming enhancements for HTTP/2 in Burp
Manually testing servers with hidden HTTP/2 support
Increased support for kettled requests
Normalization
What normalization is performed?
Why can't I move the Host header?
Sending requests without any normalization
Performing HTTP/2-exclusive attacks
Injecting newlines into headers
HTTP/2 basics for Burp users
Binary protocol
Frames
Message length
Header capitalization
Pseudo-headers
External browser configuration
Check proxy listener is active
Chrome
Firefox
Safari
Internet Explorer
Check your browser configuration
Installing Burp's CA certificate
Installing Burp's CA certificate on a mobile device
Why do I need to install Burp's CA certificate?
Chrome
Removing Burp's CA certificate from Firefox
Chrome
Installing Burp's CA certificate in Chrome - Windows and MacOS
Installing Burp's CA certificate in Chrome - Linux
Chrome
Removing Burp's CA certificate from Safari
Chrome
Removing Burp's CA certificate from Internet Explorer
Troubleshooting
Check that Burp is running
Check your proxy listener is active
Try a different port
What next?
Mobile testing
Troubleshooting for mobile devices
I can't access HTTPS URLs on iOS even after installing Burp's CA certificate
Extensibility
Projects
Project files
Saving a copy of a project
Saving the Burp Collaborator identifier
Importing projects
Configurations
Configuration library
User and project configuration files
Loading and saving configuration files
Configuration file format
Troubleshooting
Troubleshooting performance issues
Check the minimum system requirements
Identify potential bottlenecks: CPU, memory, and network
Optimize CPU usage
Disabling pretty printing
Disabling JavaScript analysis
Configuring your scans for performance
Narrowing the scope of your scans
Scanning a single protocol
Optimize memory usage
Disabling extensions
Allocating more memory to the Java machine
Using a disk-based project
Optimize network usage
Reducing concurrent scans
Configuring resource pools
Becoming an early adopter
Dashboard
Task details
Task execution settings
Task auto-start
Resource pools
Issue activity
Issue activity annotations
Tools
Target
Using
Manual application mapping
Defining Target scope
Reviewing unrequested items
Discovering hidden content
Analyzing the attack surface
Target tool testing workflow
Target site map
Target information
Site map views
Contents view
Issues view
Site map display filter
Site map annotations
Site map testing workflow
Comparing site maps
Site map sources
Request matching
Response comparison
Comparison results
Scope
Proxy
Getting started
Using Burp Proxy
Getting set up
Intercepting requests and responses
Using the Proxy history
Burp Proxy testing workflow
Key configuration options for Burp Proxy
Intercepting messages
Controls
Message display
Protocol
History
History table
Proxy history display filter
Proxy history annotations
Proxy history testing workflow
Options
Proxy listeners
Binding
Request handling
Certificate
Exporting and importing the CA certificate
Creating a custom CA certificate
TLS protocols
HTTP
Intercepting HTTP requests and responses
Intercepting WebSocket messages
Response modification
Match and replace
TLS pass through
Miscellaneous
Invisible proxying
In-browser interface
Intruder
Getting started
Using Burp Intruder
How Intruder works
Saving an attack
Typical uses
Enumerating identifiers
Harvesting useful data
Fuzzing for vulnerabilities
Target
Positions
Request template
Payload markers
Attack type
Payloads
Types
Simple list
Predefined payload lists
Runtime file
Custom iterator
Character substitution
Case modification
Recursive grep
Illegal Unicode
Character blocks
Numbers
Dates
Brute forcer
Null payloads
Character frobber
Bit flipper
Username generator
ECB block shuffler
Extension-generated
Copy other payload
Processing
Payload processing rules
Payload encoding
Intruder resource pool
Options
Save options
Attack request headers
Error handling
Attack results options
Grep - match
Grep - extract
Grep - payloads
Handling redirections during attacks
Configure attack
Launching an attack
Attack results
Results table
Intruder attacks display filter
Annotations
Burp Intruder testing workflow
Attack configuration tabs
Results menus
Attack menu
Save menu
Columns menu
Analyzing results
Repeater
Using Burp Repeater
Using Burp Repeater with HTTP messages
Sending HTTP requests
HTTP request history
Using Burp Repeater with WebSocket messages
Repeater options
Managing request tabs
Options
Sequencer
Getting started
Randomness tests
Character-level analysis
Bit-level analysis
Samples
Live capture
Select live capture request
Token location within response
Live capture options
Running the live capture
Manual load
Analysis options
Token handling
Token analysis
Results
Summary
Character-level analysis results
Bit-level analysis results
Results analysis options
Decoder
Loading data into Decoder
Transformations
Working manually
Smart decoding
Comparer
Loading data into Comparer
Performing comparisons
Extender
Loading and managing extensions
Extension details
BApp store
Burp Extender API
Extender options
Settings
Java environment
Python environment
Ruby environment
Submitting extensions
Before you submit
Submit your extension
Reviewing the extension
Updating your BApp
Clickbandit
Running Burp Clickbandit
Record mode
Review mode
Collaborator client
Using Burp Collaborator client
Mobile Assistant
Routing traffic through Burp Suite
Bypassing certificate pinning
Adding injected apps
Injected apps list
Recovering from crashes
Installing Burp Suite Mobile Assistant
Logger
Logging and memory
Logger functionality
Task logger
Logger configuration
Options
Capture options
View options
DOM Invader
Enabling DOM Invader
DOM Invader settings
Augmented DOM
Injecting a canary
Changing the canary
Identifying controllable sources and sinks
Viewing all potential sinks
Searching the augmented DOM
Studying the stack trace
Postmessage
Enabling web message interception
Postmessage settings
Viewing intercepted messages
Viewing message details
Spoofing the message origin
Injecting a canary via web messages
Automatically generating new messages
Replaying web messages
Generating a proof-of-concept for web message vulnerabilities
Useful functions
Message editor
Message analysis toolbar
Raw view
Pretty view
Hex view
Render view
Extension-specific views
Actions menu
Other ways of using the message editor
HTTP/2 messages in the message editor
Context-specific actions
Text editor
Syntax analysis
Pretty printing
Non-printing characters
Text editor hotkeys
Quick search
Inspector
Request attributes
HTTP/2 headers and pseudo-headers
Using the context menu
Working with encoded data in the Inspector
Automatic decoding
Decoding selected characters
Editing encoded data
Working with individual characters in the Inspector
Injecting non-printing characters
Embedded browser
Manual testing with Burp's embedded browser
Scanning websites with Burp's embedded browser
Embedded browser health check
Search
Text search
Find comments and scripts
Find references
Target analyzer
Content discovery
Control
Target
Filenames
File extensions
Discovery engine
Site map
Task scheduler
Generate CSRF PoC
CSRF PoC options
URL-matching rules
Normal scope control
Advanced scope control
Response extraction rules
Manual testing simulator
Options
Project options
User options
Key
Connections
Platform authentication
Upstream proxy servers
SOCKS proxy
Timeouts
Hostname resolution
Out-of-scope requests
HTTP
Redirections
Streaming responses
Status 100 responses
HTTP/2
TLS
TLS negotiation
Java TLS options
Client TLS certificates
Server TLS certificates
Sessions
Session handling challenges
Session handling rules
Session handling tracer
Cookie jar
Macros
Integration with Burp tools
Rule editor
Rule description
Rule actions
Use cookies from the session handling cookie jar
Set a specific cookie or parameter value
Check session is valid
Prompt for in-browser session recovery
Run a macro
Run a post-request macro
Invoke a Burp extension
Tools scope
URL scope
Parameter scope
Macro editor
Record macro
Configuring macro items
Cookie handling
Parameter handling
Custom parameter locations in response
Re-analyze macro
Test macro
Misc project options
Scheduled tasks
Burp Collaborator server
Logging
Embedded browser project options
Display
User interface
How to enable dark mode in Burp Suite
HTTP message display
Character sets
HTML rendering
Misc user options
Hotkeys
Automatic project backup
REST API options
Proxy interception
Proxy history logging
Temporary files location
Performance feedback
Logging exceptions to a local directory
Update settings
Message search
Embedded browser
Enterprise Edition
Getting started with Burp Suite Enterprise Edition
Technical infrastructure
Working with Burp Suite Enterprise Edition
General administration tasks
Additional configuration and integration
Troubleshooting in Burp Suite Enterprise Edition
API reference
Getting started
Your deployment options
On-premise
Activating your license
Deploying to the cloud
AWS
Main CloudFormation template
Nested templates
IAM CloudFormation template
How to deploy Burp Suite Enterprise Edition on AWS
Set up the IAM roles
Set up your own database (optional)
Configure the connection settings for the VPC security group
Create the main stack
Get the DNS name for launching Burp Suite Enterprise Edition
Set up routing and access the application
Azure
Azure Resource Manager template
Nested templates for Azure Resource Manager
How to deploy Burp Suite Enterprise Edition on Azure
Set up a database
Create a resource group for your database
Create the database server
Configure the database connection settings
Create the database and users
Deploy the main stack to Azure
Overriding the default values (optional)
Create the service principal
Enter the remaining details for your deployment
Configure connection security settings
Set up routing and access the application
Troubleshooting
The deployment is complete but bsee-application is in a "failed" state
How do I remove Burp Suite Enterprise Edition from Azure?
Analyze scan results
Creating a new initial admin user
Preparing for the installation
Run your first scan
Setting up the external DB
Database setup scripts
PostgreSQL
Microsoft SQL Server
Oracle
MariaDB / MySQL
Database connection URL format
Troubleshooting for MySQL databases
Distributing the public key manually
What next?
Get more out of Burp Suite Enterprise Edition
Infrastructure
Core components
Enterprise server
Web server
Database
Services
Agents and agent machines
Services
Managing Burp Suite Enterprise Edition services
List running services
Stop running services
Start services
Agents
Agent machines
Agent machine pools
Requirements
Required number of machines
Multi-machine deployment
Requirements
System requirements
General requirements
Swap space (Linux only)
Bundled deployment
External agent machines
Database and storage space
Supported database versions
Network and firewall configuration
Fully bundled deployment
Multi-system deployment
Supported client browsers
Working with Burp Suite Enterprise Edition
Starting Burp Suite Enterprise Edition
Home page
Working with sites
Sites page
Creating sites
Adding application logins
Add login credentials
Add recorded login sequences
Limitations for recorded login sequences in Burp Suite Enterprise Edition
How to record a login sequence for Burp Suite Enterprise Edition
Troubleshooting recorded login sequences for Burp Suite Enterprise Edition
Viewing site details
Site-level dashboard
Scans
Issues
Details
Site URLs
Folders
Viewing folder details
Folder-level dashboard
Scans
Issues
Working with scans
Scans page
Scan configurations
Creating custom scan configurations in Burp Suite Enterprise Edition
Crawl options
Audit options
Connection options
Request throttling
Creating scans
Browser-powered scans
How to enable browser-powered scanning for Burp Suite Enterprise Edition
Enabling browser-powered scanning on Linux machines
Viewing scan details
Scheduled scans
Running and completed scans
Failed scans
Extensions
Extension library
Adding extensions to Burp Suite Enterprise Edition
Prerequisite permissions for adding extensions
Adding a BApp to Burp Suite Enterprise Edition
Adding a custom extension to Burp Suite Enterprise Edition
Using extensions in Burp Suite Enterprise Edition
Applying an extension to a new site
Applying an extension to an existing site
Viewing extension details
Removing an extension
Creating a custom extension for Burp Suite Enterprise Edition
Scan results
Viewing issue details
Advisory
Requests and responses
Dynamic analysis
Handling false positives
Jira tickets
Monitoring your progress
Reporting
Downloading scan reports
Report type
Included severities
False positives
Automatically sending scan summary reports
Downloading charts
Downloading the event log
Administration tasks
Additional configuration and integration tasks
General administration tasks
Activating your license
Configuring your web server
Web server URL and port number
Enabling TLS
Configuring an HTTP proxy server
Connecting to an SMTP server
Sending invites to newly created users
Configuring email recipients for scan reports
Integrating with Jira
Creating your Jira API token (cloud only)
Configuring the integration
Manually creating Jira tickets
Integrating with your CI/CD platform
Integration types
Detailed instructions
Integration types
Site-driven scan
Burp scan
Create an API user
Create a role and group for CI/CD users
Create the CI/CD API user
Jenkins
Create an API user
Download and install the plugin
Configure the integration
Site-driven scan
Prerequisites
Whitelist your Jenkins URL
Create the site-driven scan build step in Jenkins
Test your integration
Burp scan
Prerequisites
Create the Burp scan build step in Jenkins
Test your integration
TeamCity
Create an API user
Download and install the plugin
Configure the integration
Site-driven scan
Prerequisites
Whitelist your TeamCity URL
Create the site-driven scan build step in TeamCity
Test your integration
Burp scan
Prerequisites
Create the Burp scan build step in TeamCity
Test your integration
Other
Site-driven scan
Prerequisites
Add the build steps to your pipeline
Test your integration
Burp scan
Prerequisites
Add the build steps to your pipeline
Test your integration
Parameter reference
Optional settings
Configuring optional settings using the native platform plugins
Configuring optional settings using the generic CI/CD driver
Overriding the default scan configurations from your CI/CD system
Ignoring issues
Enabling CORS
How to whitelist an application for CORS in Burp Suite Enterprise Edition
Why do I need to do this?
Deploying additional agent machines
Setting up a new agent machine
Authorizing a new agent machine
Assigning agents
Requesting additional agents
Managing agent machine pools
Features of agent machine pools
Manage agent machine pools
Migrating to an external database
Installing the database transfer tool
Preparing for migration
Prerequisite steps for Oracle databases
Migrating your data
Restarting services
Enabling single sign-on
LDAP
SAML
Add Burp Suite Enterprise Edition to your trusted applications
Obtain key details from your identity provider
Enter your identity provider details
Additional identity provider configuration
Configuring single logout
Additional ADFS configuration
Create a central claim issuance policy
Create claim rules for each group individually
Additional Okta configuration
Additional Azure AD configuration
Configuring user permissions
Managing your team
Users
Creating a new user
Creating API users
Roles
Groups
Restricting access to sites
Managing your certificates
Managing the site tree
Creating folders and subfolders
Adding sites to a folder
Managing sites and scan data
Automatically create sites for API-generated scans
How does Burp Suite Enterprise Edition decide which sites to match?
Automatically delete old scans
Scan deltas
Configuring false positive settings
Backing up your data
Managing updates
Offline updates
Downtime during updates
Troubleshooting
Downloading logs
Help center
Diagnostics
Debug
Support pack
API reference
GraphQL API
REST API
Scanner
Crawling
Core approach
Session handling
Detecting changes in application state
Application login
Crawling volatile content
Crawling with the embedded browser (browser-powered scanning)
Auditing
Audit phases
Issue types
Insertion points
Encoding data within insertion points
Nested insertion points
Modifying parameter locations
Automatic session handling
Avoiding duplication
Consolidation of frequently occurring passive issues
Handling of frequently occurring insertion points
JavaScript analysis
Handling application errors
Burp Collaborator
What is Burp Collaborator?
How Burp Collaborator works
Security of Collaborator data
Options for using Burp Collaborator
Deploying a private server
Basic set-up on a closed network
General set-up steps
Installation and execution
Collaborator server ports and firewall rules
Running on non-standard ports
Collaborator server resources
DNS configuration
Collaborator configuration file
TLS configuration
Interaction events and polling
Metrics
Collaborator logging
Testing the installation
Add custom HTTP content
Add custom DNS records
Troubleshooting your server
Burp Infiltrator
How Burp Infiltrator works
Installing Burp Infiltrator
Non-interactive installation
Configuration options
Contents
burp指南桌面版目录导航
此文仅作告知用户,以后会对其所有内容进行翻译,静待.