分享Burp Suite遇到的各種坑
前言
上篇文章 ofollow,noindex" target="_blank">《HTTP協議除錯工具彙總,你心目中應該是什麼樣的?》 介紹了近40款抓包工具,本篇將單獨吐槽一下Burp Suite使用中經常遇到問題,及設想如何改進。
1、性質問題
價格昂貴
專業版高達399美元/每年,免費版有功能限制: https://portswigger.net/buy/pro ,構想中的工具應該是免費開源的。
破解版存在安全隱患
https://www.0x00sec.org/t/malware-reversing-burpsuite-keygen/5167
https://www.52pojie.cn/thread-691448-1-1.html
想起了XcodeGhost事件。
此類工具的敏感性
http://www.4hou.com/info/news/7656.html
2、介面問題
不支援多語言,且無法漢化
構想中的應該支援 多語言選單檔案。
3、編碼問題
中文顯示亂碼
請求無法輸入中文
搜尋不支援中文
Decoder模組不支援中文
中文編碼一直很蛋疼,構想中的不存在此類問題。
3、資源佔用問題
爆機是家常便飯
理想中應該不超過100M吧。
4、效能問題
代理速度慢的可以用眼看出來
不支援長連線
Intruder模組只有多執行緒
只用多執行緒未免有點慢,可以使用“連線池”技術,但XProxy採用了原理相似的 “連線複用”技術 ,由於沒有“連線池”的資源排程消耗所以速度更快。
5、操作問題
Urlcod處停留只顯示5秒,來不及看完
構想中的可以勾選關鍵字,使用右鍵選單直接在介面裡解碼顯示。
不支援Unicode編碼
可通過外掛 https://github.com/bit4woo/u2c :
構想中的可以 自動解碼或手動右鍵選單解碼。
Decode模組字元長的話看起來很蛋疼
構想中的可以 換行。
連續檢視響應頁面時如果中間存在響應缺失則會跑到請求頁面去
這個Bug也很蛋疼。
請求地址過長需要滑鼠左右拖動操作或挨個點選檢視
看不全URL,現在的抓包工具操作起來都有種“盲點”的感覺,構想中的自定義性更高,比如URL可以換行顯示。
6、擴充套件問題
外掛開發語言只支援Java,Jython,JRuby,程式碼量太大,sqlmap聯動外掛居然用了1500多行程式碼。