前言
上篇文章《HTTP协议调试工具汇总,你心目中应该是什么样的?》介绍了近40款抓包工具,本篇将单独吐槽一下Burp Suite使用中经常遇到问题,及设想如何改进。
1、性质问题
价格昂贵
专业版高达399美元/每年,免费版有功能限制:https://portswigger.net/buy/pro,构想中的工具应该是免费开源的。
破解版存在安全隐患
https://www.0x00sec.org/t/malware-reversing-burpsuite-keygen/5167
想起了XcodeGhost事件。
此类工具的敏感性
2、界面问题
不支持多语言,且无法汉化
构想中的应该支持 多语言菜单文件。
3、编码问题
中文显示乱码
请求无法输入中文
搜索不支持中文
Decoder模块不支持中文
中文编码一直很蛋疼,构想中的不存在此类问题。
3、资源占用问题
爆机是家常便饭
理想中应该不超过100M吧。
4、性能问题
代理速度慢的可以用眼看出来
不支持长连接
Intruder模块只有多线程
只用多线程未免有点慢,可以使用“连接池”技术,但XProxy采用了原理相似的 “连接复用”技术 ,由于没有“连接池”的资源调度消耗所以速度更快。
5、操作问题
Urlcod处停留只显示5秒,来不及看完
构想中的可以勾选关键字,使用右键菜单直接在界面里解码显示。
不支持Unicode编码
可通过插件https://github.com/bit4woo/u2c:
构想中的可以 自动解码或手动右键菜单解码。
Decode模块字符长的话看起来很蛋疼
构想中的可以 换行。
连续查看响应页面时如果中间存在响应缺失则会跑到请求页面去
这个Bug也很蛋疼。
请求地址过长需要鼠标左右拖动操作或挨个点击查看
看不全URL,现在的抓包工具操作起来都有种“盲点”的感觉,构想中的自定义性更高,比如URL可以换行显示。
6、扩展问题
插件开发语言只支持Java,Jython,JRuby,代码量太大,sqlmap联动插件居然用了1500多行代码。
构想中的 前后端都使用Python API控制。
还有哪些问题及设想?欢迎补充。
*本文作者:mazekey,转载请注明来自FreeBuf.COM
来源:freebuf.com 2018-10-10 10:00:04 by: mazekey
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册