Burpsuite工具在漏洞检测中的应用

作     者：俞诗源 王誉天 刘鑫 YU Shiyuan;WANG Yutian;LIU Xin

作者机构：北京市公安局北京100006 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2016年第9期

页      面：94-97页

学科分类：0839[工学-网络空间安全] 08[工学] 

主　　题：Burpsuite 漏洞扫描 网络安全 

摘      要：Burpsuite是全球知名的Web攻击集成平台,平台包括:Web代理、网络爬虫、扫描器、自动化攻击、解码器、中继器等功能,并且支持编写自定义工具来扩展Burp Suit的功能。文章对Burpsuite工具的工作方法进行了深入研究,挖掘Burpsuite工具的最新的使用方法和功能。从Web安全测试的角度,以流行的Struts安全漏洞为例,充分发挥Burpsuite工具的优势,编写了多个Struts漏洞的检测工具。在Burpsuite工具平台上,实现自动化Struts漏洞检测、识别,并且加入了编码变形,能够进行绕过Web应用防火墙等防护手段的测试,在相关的安全检测工作中起到了重要的作用。