安基网 首页 IT技术 安全攻防 查看内容

分享Burp Suite遇到的各种坑

2018-10-10 11:07| 投稿: lofor |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 前言上篇文章《HTTP协议调试工具汇总,你心目中应该是什么样的?》介绍了近40款抓包工具,本篇将单独吐槽一下Burp Suite使用中经常遇到问题,及设想如何改进。1、性质问题价格昂贵专业版高达399美元/每年,免费版有 ...

前言

上篇文章《HTTP协议调试工具汇总,你心目中应该是什么样的?》介绍了近40款抓包工具,本篇将单独吐槽一下Burp Suite使用中经常遇到问题,及设想如何改进。

1、性质问题

价格昂贵

专业版高达399美元/每年,免费版有功能限制:https://portswigger.net/buy/pro,构想中的工具应该是免费开源的。

破解版存在安全隐患

https://www.0x00sec.org/t/malware-reversing-burpsuite-keygen/5167

https://www.52pojie.cn/thread-691448-1-1.html

想起了XcodeGhost事件。

此类工具的敏感性

http://www.4hou.com/info/news/7656.html

2、界面问题

不支持多语言,且无法汉化

构想中的应该支持 多语言菜单文件。

3、编码问题

中文显示乱码

请求无法输入中文

搜索不支持中文

Decoder模块不支持中文

中文编码一直很蛋疼,构想中的不存在此类问题。

3、资源占用问题

爆机是家常便饭

理想中应该不超过100M吧。

4、性能问题

代理速度慢的可以用眼看出来

 不支持长连接

Intruder模块只有多线程

只用多线程未免有点慢,可以使用“连接池”技术,但XProxy采用了原理相似的 “连接复用”技术 ,由于没有“连接池”的资源调度消耗所以速度更快。

5、操作问题

Urlcod处停留只显示5秒,来不及看完

构想中的可以勾选关键字,使用右键菜单直接在界面里解码显示。

不支持Unicode编码

可通过插件https://github.com/bit4woo/u2c

构想中的可以 自动解码或手动右键菜单解码。

Decode模块字符长的话看起来很蛋疼

构想中的可以 换行。

连续查看响应页面时如果中间存在响应缺失则会跑到请求页面去

这个Bug也很蛋疼。

请求地址过长需要鼠标左右拖动操作或挨个点击查看

看不全URL,现在的抓包工具操作起来都有种“盲点”的感觉,构想中的自定义性更高,比如URL可以换行显示。

6、扩展问题

插件开发语言只支持Java,Jython,JRuby,代码量太大,sqlmap联动插件居然用了1500多行代码。

构想中的 前后端都使用Python API控制。

还有哪些问题及设想?欢迎补充。

*本文作者:mazekey,转载请注明来自FreeBuf.COM

Tag标签:

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部