雷火电竞官网-中国知名电竞赛事平台

　　burpsuite professional是一款非常專業的滲透測試工具。它采用自動測試和半自動測試的方式，通過攔截HTTP/HTTPS的web數據包，充當瀏覽器和相關應用程序的中間人，進行攔截、修改、重放數據包進行測試，該版本內置破解補丁，用戶可永久免費使用。

【軟件優勢】

　　1、自動收獲低垂的水果

　　Web漏洞掃描程序是軟件的核心。這是世界上許多最大的組織信任的掃描儀。

　　該掃描儀涵蓋整個OWASP Top 10，并且能夠進行被動和主動分析。當然，開發工作由PortSwigger的世界領先研究團隊負責。

　　2、通過人工指導的自動化節省更多時間

　　使用純自動化工具無法找到每個Web安全漏洞。許多需要某種形式的人工輸入。但是，利用這些漏洞通?？赡苁且患钊藚挓┑娜蝿?。

　　Burp Intruder等強大的省力工具可讓您更好地利用自己的時間。當對漏洞進行模糊處理或使用其他蠻力技術時，尤其如此。

　　3、瑞士黑客專用刀

　　很容易看出軟件為何起作用。這是一個真正的一站式解決方案，可快速，可靠地發現和利用Web應用程序中的漏洞。

　　但這還不止于此。通過BApp Store，您可以訪問數百個社區生成的插件。軟件的Extender API允許您編寫自己的。通過以這種方式增強軟件的功能，其應用幾乎變得無限。

　　4、業界最受歡迎的工具

　　Burp Suite Professional在130多個國家/地區擁有40,000多名用戶。這使其成為用于Web安全測試的世界上使用最廣泛的工具箱。

　　這不是偶然發生的。我們的工具眾所周知是用戶知識的倍增器。

　　當然，我們會這樣說。但是，請看一下我們的憑據。我們的軟件可以保護許多世界上最強大的組織：

　　5、其他人跟隨

　　Burp最初由我們的創始人Dafydd Stuttard撰寫。您可能會從The Web Application Hacker's Handbook（關于Web安全的事實上的標準教科書）中知道Daf的名字。Daf仍然領導我們的開發團隊。

　　沒有研究，您將無法擁有最先進的工具- 我們的團隊是首屈一指的。PortSwigger致力于教育，您將在全球各地的會議上找到我們。

　　一個典型的例子是Burp Collaborator，它率先開發了帶外（OAST）測試技術。我們一直在試驗-我們的用戶從中受益。

【版本特色】

　　一、Web漏洞掃描程序

　　1、涵蓋了100多個通用漏洞，例如SQL注入和跨站點腳本（XSS），在OWASP前10名中的所有漏洞中均具有出色的性能。

　　2、Burp的尖端 Web應用程序搜尋器 準確地映射內容和功能，自動處理會話，狀態更改，易失性內容和應用程序登錄。

　　3、Burp Scanner包括一個完整的 JavaScript分析 引擎，該引擎結合了靜態（SAST）和動態（DAST）技術，用于檢測客戶端JavaScript（例如基于DOM的跨站點腳本）中的安全漏洞。

　　4、Burp率先使用高度創新 的帶外技術（OAST） 來增強傳統的掃描模型。Burp Collaborator技術使Burp可以檢測在應用程序外部行為中完全不可見的服務器端漏洞，甚至報告在掃描完成后異步觸發的漏洞。

　　5、Burp Infiltrator技術可用于檢測目標應用程序，以在其有效負載到達應用程序內的危險API時向Burp Scanner提供實時反饋，從而執行交互式應用程序安全測試（IAST）。

　　6、Burp的掃描邏輯會不斷進行改進，以確保能夠找到最新的漏洞和現有漏洞的新情況。近年來，Burp成為第一臺檢測Burp研究團隊首創的新型漏洞的掃描儀，包括模板注入和Web緩存中毒。

　　7、所有報告的漏洞均包含詳細的自定義建議。這些內容包括問題的完整說明以及逐步的修復建議。會針對每個問題動態生成建議性措詞，并準確描述任何特殊功能或補救點。

　　二、先進的手動工具

　　1、使用Burp項目文件實時增量保存您的工作，并從上次中斷的地方無縫接聽。

　　2、使用配置庫可以使用不同的設置快速啟動目標掃描。

　　3、在Burp的中央儀表板上查看所有發現的漏洞的實時反饋。

　　4、將手動插入點放置 在請求中的任意位置，以通知掃描儀有關非標準輸入和數據格式的信息。

　　5、瀏覽時 使用 實時掃描， 以完全控制針對哪些請求執行的操作。

　　6、Burp可以選擇報告所有反映和存儲的輸入，即使尚未確認漏洞，也可以方便手動測試跨站點腳本之類的問題。

　　7、您可以導出發現的漏洞的格式精美的HTML報告。

　　8、CSRF PoC Generator函數可用于為給定請求生成概念驗證跨站點請求偽造（CSRF）攻擊。

　　9、內容發現功能可用于發現隱藏的內容和未與可瀏覽的可見內容鏈接的功能。

　　10、目標分析器功能可用于分析目標Web應用程序，并告訴您它包含多少個靜態和動態URL，以及每個URL包含多少個參數。

　　11、Burp Intruder是用于自動化針對應用程序的自定義攻擊的高級工具。它可以用于多種目的，以提高手動測試的速度和準確性。

　　12、入侵者捕獲詳細的攻擊結果，并以表格形式清晰地顯示有關每個請求和響應的所有相關信息。捕獲的數據包括有效載荷值和位置，HTTP狀態代碼，響應計時器，cookie，重定向數以及任何已配置的grep或數據提取設置的結果。

　　三、基本手動工具

　　1、Burp Proxy允許手動測試人員攔截瀏覽器和目標應用程序之間的所有請求和響應，即使使用HTTPS時也是如此。

　　2、您可以查看，編輯或刪除單個消息，以操縱應用程序的服務器端或客戶端組件。

　　3、該代理歷史記錄所有請求和響應通過代理的全部細節。

　　4、您可以用注釋和彩色突出顯示來注釋單個項目，以便標記有趣的項目，以便以后進行手動后續操作。

　　5、Burp Proxy可以對響應執行各種自動修改，以方便測試。例如，您可以取消隱藏隱藏的表單字段，啟用禁用的表單字段并刪除JavaScript表單驗證。

　　6、您可以使用匹配和替換規則，將自定義修改自動應用于通過代理傳遞的請求和響應。您可以創建對消息標題和正文，請求參數或URL文件路徑進行操作的規則。

　　7、Burp有助于消除攔截HTTPS連接時可能發生的瀏覽器安全警告。安裝時，Burp會生成一個唯一的CA證書，您可以將其安裝在瀏覽器中。然后，為您訪問的每個域生成主機證書，并由受信任的CA證書簽名。

　　8、Burp支持對非代理感知客戶端的無形代理，從而可以測試非標準用戶代理，例如胖客戶端應用程序和某些移動應用程序。

　　9、HTML5 WebSockets消息以與常規HTTP消息相同的方式被攔截并記錄到單獨的歷史記錄中。

　　10、您可以配置細粒度的攔截規則，以精確控制要攔截的消息，從而使您可以專注于最有趣的交互。

　　11、該目標站點地圖顯示所有已在網站被發現被測試的內容。內容以樹形視圖顯示，該視圖與站點的URL結構相對應。在樹中選擇分支或節點將顯示單個項目的列表，并在需要時提供完整的詳細信息，包括請求和響應。

　　12、所有請求和響應都顯示在功能豐富的HTTP消息編輯器中。這提供了對基礎消息的大量視圖，以幫助分析和修改其內容。

　　13、可以在Burp工具之間輕松發送單獨的請求和響應，以支持各種手動測試工作流程。

　　14、使用Repeater工具，您可以手動編輯和重新發出單個請求，以及完整的請求和響應歷史記錄。

　　15、Sequencer工具用于使用標準密碼測試的隨機性對會話令牌進行統計分析

　　16、解碼器工具使您可以在現代網絡上使用的常見編碼方案和格式之間轉換數據。

　　17、Clickbandit工具針對易受攻擊的應用程序功能生成有效的Clickjacking攻擊。

　　18、比較器工具在成對的請求和響應或其他有趣的數據之間執行視覺區別。

　　19、您可以創建自定義會話處理規則來處理特定情況。會話處理規則可以自動登錄，檢測和恢復無效的會話以及獲取有效的CSRF令牌。

　　20、強大的Burp Extender API允許擴展自定義Burp的行為并與其他工具集成。Burp擴展的常見用例包括即時修改HTTP請求和響應，自定義Burp UI，添加自定義掃描程序檢查以及訪問關鍵的運行時信息，包括爬網和掃描結果。

　　21、該BAPP商店是貢獻的爆發式的用戶社區隨時可以使用擴展的存儲庫。只需在Burp UI中單擊即可安裝這些工具。

【破解說明】

　　1、下載解壓，得到Burp Suite Pro 2021程序和注冊機文件；

　　2、首先，雙擊 “Burp_start_chs.vbs” 可以啟動中文版軟件， “Burp_start_en.vbs” 是英文版，提示輸入許可證；

　　3、打開注冊機，將許可證密鑰復制然后點擊下一步；

　　4、彈出激活方式，這里我們選擇手動激活；

　　5、將激活請求復制到注冊機，然后再將激活響應復制到軟件內，即可完成激活；

　　6、至此，Burp Suite Professional 2021漢化破解版成功破解，所有功能全部免費使用。

【使用說明】

　　一、軟件入門

　　注意：在某些應用程序中使用軟件可能會導致意想不到的效果。在您完全了解軟件的功能和設置之前，您只能在非生產系統上使用軟件。

　　1、啟動打Bur

　　從PortSwigger.net網站下載適用于所需平臺（Windows，MacOS或Linux）的軟件安裝程序。

　　運行安裝程序，然后在安裝向導中選擇任何所需的選項。

　　通過單擊已安裝的應用程序快捷方式啟動軟件。在Linux上，快捷方式位于安裝過程中顯示/選擇的安裝路徑中。

　　您也可以從命令行啟動軟件，以指定其他選項和命令行參數。

　　2、啟動向導

　　Burp啟動時，將顯示啟動向導。這使您可以選擇要打開的Burp項目以及要使用的項目配置。

　　選擇一個項目：

　　您可以從以下選項中選擇以創建或打開項目：

　　臨時項目 -此選項對于不需要保存您的工作的快速任務很有用。所有數據都保存在內存中，并且在Burp退出時丟失。

　　磁盤上的新項目-這將創建一個新項目，該項目會將其數據存儲在Burp項目文件中。該文件將保存項目的所有數據和配置，并且在您工作時會增量保存數據。您也可以指定項目的名稱。

　　打開現有項目 -這將從Burp項目文件中重新打開現有項目。顯示最近打開的項目列表，以便快速選擇。選擇此選項后，重新打開項目時，蜘蛛和掃描儀工具將自動暫停，以避免將任何意外請求發送到現有已配置目標。如果需要，可以取消選擇此選項。

　　注意：您以后可以通過“打p”菜單重命名項目。

　　選擇配置：

　　您可以從以下選項中選擇項目配置：

　　使用Burp默認值 -這將使用Burp的默認選項打開項目。

　　使用隨項目保存的選項 -僅在重新打開現有項目時可用，并且將使用項目文件中保存的選項打開項目。

　　從配置文件加載 -這將使用選定的Burp配置文件中包含的選項打開項目。請注意，將僅重新加載配置文件中的項目級選項，而所有用戶級選項都將被忽略。顯示最近使用的配置文件列表，以便快速選擇。

　　從其他Burp安裝中打開項目：

　　如果您打開由其他Burp安裝創建的現有項目，則Burp將提示您決定是否擁有該項目的完全所有權。

　　之所以需要此決定，是因為Burp在項目文件中存儲了一個標識符，該標識符用于檢索與項目關聯的任何正在進行的Burp Collaborator交互。如果Burp的兩個實例在正在進行的工作中共享相同的標識符，則可能會遺漏某些基于協作者的問題或將其錯誤地報告。如果沒有其他Burp實例在該項目上工作，則僅應從其他Burp安裝中獲得項目的完全所有權。

　　3、顯示設置

　　第一次運行Burp時，值得花一點時間檢查顯示設置。Burp可讓您為UI的不同部分選擇不同大小的字體，并且您可能要更改這些設置，具體取決于屏幕分辨率。

　　首先，查看Burp菜單中顯示的文本，標簽標題，按鈕和其他文本。如果要更改主UI字體大小，請轉到“選項”選項卡，然后轉到“顯示”子選項卡，然后在“ 用戶界面”部分中編輯字體大小。然后重新啟動Burp并檢查新字體是否合適。

　　其次，轉到“轉發器”選項卡，然后查看請求面板中顯示的HTTP消息。如果要更改HTTP消息的字體大小，請轉到“選項”選項卡，然后轉到“顯示”子選項卡，然后在“ HTTP消息顯示”部分中編輯字體大小。然后返回“中繼器”選項卡，檢查新字體是否合適（無需重新啟動）。

　　二、掃描網站

　　Burp Scanner自動執行掃描網站內容和漏洞的任務。根據配置，掃描程序可以爬網應用程序以發現其內容和功能，并審核應用程序以發現漏洞。

　　1、啟動掃描

　　可以通過多種方式啟動掃描：

　　從特定的URL掃描。這通過對一個或多個提供的URL中的內容進行爬網并有選擇地審核爬網的內容來執行掃描。為此，請轉到Burp儀表板，然后單擊“新建掃描”按鈕。這將打開掃描啟動器，使您可以配置掃描的詳細信息。

　　掃描選定的項目。這使您可以對特定的HTTP請求執行僅審核掃描（不進行爬網）。為此，請在Burp中的任意位置選擇一個或多個請求，然后從上下文菜單中選擇“掃描”。這將打開掃描啟動器，使您可以配置掃描的詳細信息。

　　實時掃描。您可以使用實時掃描來自動掃描由其他Burp工具（如Proxy或Repeater工具）處理的請求。您可以精確配置要處理的請求，以及是否應掃描它們以識別內容或審核漏洞。為此，請轉到Burp儀表板，然后單擊“新建實時任務”按鈕。這將打開實時掃描啟動器，使您可以配置任務的詳細信息。

　　2、配置掃描

　　您可以并行啟動多個掃描，并且每個掃描都有其自己的配置選項，這些選項可以準確確定掃描的執行方式。有兩個關鍵的配置區域：

　　抓取選項。這些選項控制行為，例如最大鏈接深度，爬網程序如何針對速度與覆蓋范圍進行優化以及對爬網范圍的限制。閱讀更多

　　審核選項。這些選項控制行為，如插入點的處理以及采用的檢測方法。從輕量級純被動分析到重量級侵入式掃描，這些選項對于控制將執行哪種類型的審核活動非常重要。閱讀更多

　　3、監控掃描活動

　　您可以通過多種方式監視掃描的進度和結果：

　　打p儀表板顯示有關每個任務進度的指標，問題活動日志顯示所有掃描任務報告的問題。

　　您可以打開單個掃描的任務詳細信息窗口，以僅查看該掃描的問題活動日志，以及適用任務的審核項目的詳細視圖。

　　該目標站點地圖顯示的所有內容，并已確定，由域和URL組織問題。

　　4、報告中

　　您可以使用Burp Scanner 生成 HTML格式的問題報告。您還可以采用適合導入其他工具的XML格式導出問題。

　　三、滲透測試

　　1、使用Burp的基礎知識

　　有關安裝和啟動Burp，啟動項目以及配置顯示設置的幫助，請參閱Burp Suite入門上的幫助。

　　要使用Burp進行滲透測試，您需要配置瀏覽器以與Burp配合使用，并在瀏覽器中安裝Burp的CA證書。

　　一旦運行了Burp并配置了瀏覽器，請轉到“代理攔截”選項卡，并確保攔截已打開（如果按鈕顯示“攔截已關閉”，則單擊它以切換攔截狀態）。然后轉到瀏覽器并訪問任何URL。

　　瀏覽器發出的每個HTTP請求都顯示在“攔截”選項卡中。您可以查看每條消息，并根據需要進行編輯。然后，單擊“轉發”按鈕將請求發送到目標Web服務器。如果任何時候有待攔截的待處理郵件，您都需要轉發所有這些郵件，以使瀏覽器完成加載正在等待的頁面。如果需要，可以切換“ Intercept is on / off”按鈕以正常瀏覽而不會受到任何干擾。有關更多幫助，請參閱Burp Proxy入門。

　　通過Burp瀏覽應用程序時，代理歷史記錄會記錄所有請求和響應。在代理中，轉到“歷史記錄”選項卡，并查看您提出的一系列請求。在表中選擇一個項目，然后在“請求”和“響應”選項卡中查看完整的消息。

　　同樣，在瀏覽時，默認情況下Burp會構建目標應用程序的站點地圖。轉到“目標”選項卡和“站點地圖”子選項卡以進行查看。該站點地圖包含您在瀏覽器中訪問過的所有URL，以及Burp從對您的請求的響應中推斷出的所有內容（例如，通過解析HTML響應中的鏈接）。被請求的項目以黑色顯示，其他項目以灰色顯示。您可以在樹中展開分支，選擇單個項目，然后查看完整的請求和響應（如果有）。有關更多幫助，請參閱使用目標工具。通過配置適當的實時掃描任務，您可以控制在瀏覽時將哪些內容添加到站點地圖。

　　Burp滲透測試工作流的核心是能夠在Burp工具之間傳遞HTTP請求以執行特定任務的能力。您可以從“代理攔截”選項卡，“代理歷史記錄”，站點地圖以及在Burp中您看到HTTP消息的其他任何地方發送消息。為此，選擇一個或多個消息，然后使用上下文菜單將請求發送到另一工具。

　　您將用于特定任務的Burp工具如下：

　　掃描程序 -用于自動掃描網站的內容和安全漏洞。

　　入侵者 -這使您可以執行自定義的自動攻擊，以執行各種測試任務。

　　中繼器 -用于不斷地手動修改和重新發出單個HTTP請求。

　　Collaborator客戶端 -用于生成Burp Collaborator負載，并監視結果帶外交互。

　　Clickbandit-用于產生針對易受攻擊的應用程序的點擊劫持漏洞。

　　定序器 -用于分析應用程序會話令牌中的隨機性質量。

　　解碼器 -這使您可以使用常見的編碼和解碼方案來轉換應用程序數據的位。

　　比較器 -用于對應用程序數據的位進行視覺比較，以發現有趣的差異。

　　您可以通過多種方式組合Burp的不同工具，以執行從非常簡單到高度高級和專業化的測試任務。

　　2、測試工作流程

　　Burp使您可以有效地結合手動和自動化技術，使您可以完全控制Burp執行的所有操作，并提供有關正在測試的應用程序的詳細信息和分析。

　　一些用戶可能不希望以這種方式使用Burp，而只希望對其應用程序執行快速，輕松的漏洞掃描。如果這是您所需要的，請參閱掃描網站。

　　3、偵察與分析

　　該代理工具就在于在打嗝的工作流程的心臟。它使您可以使用瀏覽器來導航應用程序，而Burp會捕獲所有相關信息并輕松啟動進一步的操作。在典型的測試中，偵察和分析階段涉及以下任務。

　　手動映射應用程序

　　使用瀏覽器通過Burp Proxy進行工作，通過跟蹤鏈接，提交表單并逐步執行多步過程來手動映射應用程序。此過程將使用所有請求的內容填充“代理歷史記錄”和“目標” 站點地圖，并且（通過實時掃描）會將可以從應用程序響應（通過鏈接，表單等）推斷出的任何其他內容添加到站點地圖中。然后，您應該查看所有未請求的項目（站點地圖中以灰色顯示），然后使用瀏覽器進行請求。

　　必要時執行自動映射

　　您可以選擇使用Burp以各種方式自動執行映射過程。您可以：

　　進行自動掃描以爬網應用程序的內容。

　　使用內容發現功能可查找未與您可以瀏覽或查看的可見內容鏈接的其他內容。

　　使用Burp Intruder 執行自定義發現，循環瀏覽公用文件和目錄的列表，并確定命中。

　　請注意，在執行任何自動操作之前，可能有必要更新Burp 配置的各個方面，例如目標范圍和會話處理。

　　分析應用程序的攻擊面

　　映射應用程序的過程將使用Burp捕獲的有關應用程序的所有信息來填充“代理歷史記錄”和“目標” 站點地圖。這兩個存儲庫均包含功能，可幫助您分析它們包含的信息并評估應用程序暴露的攻擊面。此外，您可以使用Burp的目標分析器來報告攻擊面的程度以及應用程序使用的URL的不同類型。

　　4、工具配置

　　Burp包含大量配置選項，通常需要在測試的不同階段使用它們，以確保Burp可以按所需方式與目標應用程序一起使用。例如：

　　顯示 -您可以配置用于顯示HTTP消息的字體和字符集，以及Burp自己的UI中的字體。

　　目標范圍 - 目標范圍配置告訴Burp您當前感興趣并愿意攻擊的項目。您應該在測試的早期進行配置，因為它可以控制哪些項目顯示在“代理歷史記錄”和“目標站點地圖”中，哪些消息在“代理”中被攔截，以及哪些項目可以被掃描。

　　平臺身份驗證 -如果應用程序服務器使用任何平臺級別（HTTP）身份驗證，則可以將Burp配置為自動處理身份驗證。

　　會話處理 -許多應用程序包含的功能可能會妨礙自動或手動測試，例如反應性會話終止，按請求令牌的使用以及有狀態的多階段流程。您可以使用會話處理規則和宏的組合，將Burp配置為無縫處理大多數情況。

　　任務計劃 -您可以將Burp配置為按給定的時間或間隔計劃任務，以允許您在指定的測試窗口內工作。

　　5、漏洞檢測和利用

　　在完成對目標應用程序的偵查和分析以及Burp的所有必要配置之后，您可以開始對應用程序進行常見漏洞的探測。在此階段，一次使用多個Burp工具通常是最有效的，在不同的工具之間傳遞單獨的請求以執行不同的任務，并返回到瀏覽器進行一些測試。在整個Burp中，您可以使用上下文菜單在工具之間傳遞項目并執行其他操作。

　　在Burp的默認配置中，它將自動對通過代理的所有請求和響應執行實時被動掃描。因此，在開始積極探索該應用程序之前，您可能會發現BurpScanner已經記錄了一些值得進一步調查的問題。

　　Burp的工具可以以多種不同方式使用，以支持主動測試漏洞的過程。下面針對不同類型的問題介紹了一些示例。

　　基于輸入的錯誤

　　對于SQL注入，跨站點腳本和文件路徑遍歷等問題，您可以通過多種方式使用Burp：

　　您可以使用BurpScanner執行掃描。您可以在Burp中的任何位置選擇項目，然后使用上下文菜單啟動掃描?；蛘?，您可以將Burp配置為對通過代理傳遞的所有范圍內請求進行實時掃描。

　　您可以使用BurpIntruder使用自己的測試字符串和有效負載位置執行模糊測試。

　　您可以將單個請求發送給BurpRepeater，一遍又一遍地手動修改和重新發出請求。

　　確定了某些類型的錯誤之后，您可以使用BurpIntruder積極地利用這些錯誤。例如，您經常可以使用遞歸grep有效負載類型來利用SQL注入漏洞。

　　邏輯和設計缺陷

　　對于諸如不安全使用客戶端控件，無法強制執行帳戶鎖定以及無法在多階段流程中跳過關鍵步驟等問題，通常需要手動進行：

　　通常，仔細查看代理歷史記錄將確定需要調查的相關請求。

　　然后，您可以通過使用BurpRepeater單獨發出意外請求，或者打開代理偵聽并在使用瀏覽器的同時手動更改請求，從而探查應用程序對意外請求的處理。

　　您可以使用BurpIntruder積極利用許多邏輯和設計缺陷。例如，入侵者可用于枚舉有效的用戶名，猜測密碼，在可預測的會話令牌或密碼恢復令牌中循環，甚至可以簡單地多次（使用空有效負載類型）重新發出相同的請求。

　　確認了邏輯或設計缺陷后，可以使用BurpProxy的match/replace函數或會話處理規則來系統地更改請求，從而積極利用其中的許多缺陷。

　　訪問控制問題

　　Burp包含一些功能，可在測試訪問控制漏洞時提供幫助：

　　您可以將“比較站點地圖”功能用于各種任務，包括：識別一個用戶可見而另一用戶不可見的功能；測試低特權用戶是否可以訪問應僅限于高特權用戶使用的功能；以及發現在哪里使用用戶特定的標識符來隔離兩個相同類型的用戶對數據的訪問。

　　您可以使用不同的瀏覽器在不同的用戶上下文中訪問應用程序，并為每個瀏覽器使用單獨的Burp代理偵聽器（使用不同的端口）。然后，您可以打開其他“代理歷史記錄”窗口（通過上下文菜單），并在每個窗口上設置顯示過濾器，以僅顯示在特定偵聽器端口上收到的項目。在每個瀏覽器中使用該應用程序時，每個歷史記錄窗口將僅顯示關聯用戶上下文的項目。然后，可以使用“當前瀏覽器會話中瀏覽器中的請求”功能（通過上下文菜單）在瀏覽器之間切換請求，以確定如何在該瀏覽器的用戶上下文中處理請求。

　　當應用程序在請求參數中傳遞用戶標識符，并使用該標識符標識當前用戶上下文時，會出現許多特權提升漏洞。您可以通過使用BurpIntruder循環瀏覽適當格式的標識符（例如，使用數字或自定義迭代器有效負載類型）并配置提取grep項，以從應用程序的響應中檢索有趣的用戶特定數據，來積極利用此類漏洞。

　　其他漏洞

　　Burp包含一些功能，這些功能實際上可以用來傳遞并自動執行探查其他類型漏洞時出現的任何任務。例如：

　　您可以使用“搜索和查找評論”功能來幫助您查看目標站點地圖的內容，以了解信息泄漏問題。

　　確定了可能的CSRF漏洞之后，您可以使用CSRF生成器快速創建HTML中的概念驗證攻擊，然后使用“在瀏覽器中測試”功能將攻擊加載到瀏覽器中，然后查看瀏覽器結果，并代理歷史記錄，以驗證攻擊是否成功。

　　您可以使用BurpSequencer分析來自應用程序的會話令牌樣本，并估計其隨機性的質量。

　　對于某些類型的加密會話令牌或其他參數，您可以使用BurpIntruder中的位翻轉器和ECB塊混洗器有效載荷類型盲目修改加密數據，以嘗試有意義地更改應用程序處理的解密數據。

　　您可以編寫自己的自定義Burp擴展，以執行更多專業化或自定義任務。