分享Burp Suite遇到的各种坑 – 作者:mazekey

前言

上篇文章《HTTP协议调试工具汇总,你心目中应该是什么样的?》介绍了近40款抓包工具,本篇将单独吐槽一下Burp Suite使用中经常遇到问题,及设想如何改进。

1、性质问题

价格昂贵

专业版高达399美元/每年,免费版有功能限制:https://portswigger.net/buy/pro,构想中的工具应该是免费开源的。

构想中的工具应该是免费开源的

破解版存在安全隐患

https://www.0x00sec.org/t/malware-reversing-burpsuite-keygen/5167

https://www.52pojie.cn/thread-691448-1-1.html

破解版存在安全隐患

想起了XcodeGhost事件。

此类工具的敏感性

http://www.4hou.com/info/news/7656.html

此类工具的敏感性

2、界面问题

不支持多语言,且无法汉化

不支持多语言,且无法汉化

构想中的应该支持 多语言菜单文件。

3、编码问题

中文显示乱码

中文显示乱码

中文显示乱码

请求无法输入中文

请求无法输入中文

搜索不支持中文

搜索不支持中文

Decoder模块不支持中文

Decoder模块不支持中文

中文编码一直很蛋疼,构想中的不存在此类问题。

3、资源占用问题

爆机是家常便饭

爆机是家常便饭

爆机是家常便饭

理想中应该不超过100M吧。

4、性能问题

代理速度慢的可以用眼看出来

代理速度慢的可以用眼看出来

 不支持长连接

 不支持长连接

Intruder模块只有多线程

Intruder模块只有多线程

只用多线程未免有点慢,可以使用“连接池”技术,但XProxy采用了原理相似的 “连接复用”技术 ,由于没有“连接池”的资源调度消耗所以速度更快。

5、操作问题

Urlcod处停留只显示5秒,来不及看完

Urlcod处停留只显示5秒,来不及看完

构想中的可以勾选关键字,使用右键菜单直接在界面里解码显示。

不支持Unicode编码

可通过插件https://github.com/bit4woo/u2c

不支持Unicode编码

构想中的可以 自动解码或手动右键菜单解码。

Decode模块字符长的话看起来很蛋疼

Decode模块字符长的话看起来很蛋疼

构想中的可以 换行。

连续查看响应页面时如果中间存在响应缺失则会跑到请求页面去

响应缺失

这个Bug也很蛋疼。

请求地址过长需要鼠标左右拖动操作或挨个点击查看

请求地址过长

看不全URL,现在的抓包工具操作起来都有种“盲点”的感觉,构想中的自定义性更高,比如URL可以换行显示。

6、扩展问题

插件开发语言只支持Java,Jython,JRuby,代码量太大,sqlmap联动插件居然用了1500多行代码。

构想中的 前后端都使用Python API控制。

还有哪些问题及设想?欢迎补充。

*本文作者:mazekey,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-10-10 10:00:04 by: mazekey

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论