一、公司背景
PortSwigger是一家英国的公司,成立于2004年,其主要业务是开发和销售Web安全测试工具和解决方案。PortSwigger公司已经成为全球最大的Web安全厂商之一,其提供的Burp Suite工具是行业内非常受欢迎的Web安全测试工具之一。
Burp Suite是一款功能强大的Web应用程序安全测试工具,可以帮助安全测试人员有效地发现Web应用程序中的漏洞。该工具结合了许多实用的功能,如代理服务器、Web应用程序扫描器、拦截器以及扩展库等。Burp Suite工具已经成为Web应用程序安全测试领域一个行业标准。
二、公司产品
PortSwigger公司主要产品是Burp Suite工具。Burp Suite包含有多个模块,如Proxy、Scanner、Intruder、Repeater、Sequencer、Comparer、Extender等,提供了完整的Web应用程序安全测试流程支持。
Burp Suite的各个模块提供了丰富的功能,如Burp Proxy可以充当一个一般的Web代理服务器,截获HTTP请求和响应信息,并进行拦截、修改等操作。Burp Scanner则采用主动和被动两种扫描方式,对Web应用程序进行全面的自动化测试,并报告潜在的漏洞和问题。Burp Intruder可以通过大量测试数据和策略进行暴力破解和注入攻击,Burp Repeater可以修改请求参数并持续进行测试,Burp Sequencer可验证随机数和会话编号的强度,Burp Comparer可对两个请求进行比较,Burp Extender 则提供了扩展能力,可以方便的编写自己的插件对Burp进行功能扩展。
三、公司服务
除了Burp Suite工具以外,PortSwigger公司还提供了各种学习资源和服务支持。公司提供了丰富的在线视频培训、用户手册和调试文档,实现了对用户的全面支持和服务,帮助用户更好地使用Burp Suite工具。同时,PortSwigger公司还提供了专业的漏洞测试服务,帮助客户评估并改进其Web应用程序安全性。
此外,PortSwigger公司还定期举办全球Web安全会议,如“Burp Suite用户大会”等,提供各种Web安全领域最新的技术和趋势,帮助安全测试人员更好地了解Web安全测试的最新发展和实践。
四、代码展示
// Burp suite的Proxy模块使用示例
public void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo) {
// 判断是否为HTTP请求
if (!messageIsRequest) {
return;
}
IRequestInfo requestInfo = helpers.analyzeRequest(messageInfo.getRequest());
String url = requestInfo.getUrl().toString();
URL requestUrl = requestInfo.getUrl();
// 记录HTTP方法,主机和路径等信息
String method = requestInfo.getMethod().toUpperCase();
String host = requestUrl.getHost();
String fullPath = requestUrl.getPath();
// 对HTTP请求进行修改等操作
byte[] requestBytes = messageInfo.getRequest();
IRequestInfo info = helpers.analyzeRequest(requestBytes);
List headers = info.getHeaders();
headers.set(0, "GET / HTTP/1.1");
headers.set(1, "Host: www.baidu.com");
headers.set(2, "Cookie: test=123");
byte[] newRequestBytes = helpers.buildHttpMessage(headers, "".getBytes());
messageInfo.setRequest(newRequestBytes);
}
