portswigger.net

一句话介绍

PortSwigger推出的Burp Suite是全球渗透测试领域最知名的Web安全测试工具套件，由英国安全研究员Dafydd Stuttard于2004年创立，因其强大的拦截代理、漏洞扫描和扩展生态，被业界视为Web安全从业者的“瑞士军刀”。

业务详解

PortSwigger的核心产品是Burp Suite，提供从手动渗透测试到自动化漏洞扫描的全链路Web安全测试能力。公司总部位于英国，拥有超过20年的Web安全工具开发历史，其社区版（免费）和专业版（付费）覆盖了从安全初学者到企业红队的广泛用户群。行业地位上，Burp Suite与OWASP ZAP并列为两大主流Web代理工具，但在企业级渗透测试中，Burp Suite凭借其稳定的拦截代理、丰富的扩展插件（BApp Store）以及精准的扫描引擎，长期占据市场主导地位。客户类型包括独立安全研究员、企业内部安全团队、第三方渗透测试服务商以及参与漏洞赏金计划的白帽黑客。PortSwigger还提供在线安全学院（Web Security Academy），免费教授Web漏洞原理，进一步巩固了其在安全培训领域的权威性。

适合谁用

• 个人安全研究员/白帽黑客：社区版免费且功能强大，适合学习Web漏洞挖掘和参与漏洞赏金计划。
• 中小型企业的安全团队：专业版提供自动化扫描和报告功能，适合内部安全审计和DevSecOps集成。
• 渗透测试服务商：企业版支持团队协作和高级配置，适合为客户提供合规性渗透测试。
• 安全培训学员：Web Security Academy与Burp Suite深度绑定，适合从零学习Web安全。

不适合场景：非安全专业人士（如普通开发者仅需简单扫描）可能觉得学习曲线陡峭；纯自动化安全测试场景（如CI/CD流水线）需搭配其他工具。

关键功能与亮点

• 拦截代理（Proxy）：核心功能，可截获并修改HTTP/HTTPS请求与响应，支持WebSocket流量，是手动测试的基础。
• 漏洞扫描器（Scanner）：专业版/企业版内置主动和被动扫描，覆盖SQL注入、XSS、SSRF等主流漏洞，误报率较低。
• 扩展生态（BApp Store）：官方和第三方开发的插件超过200个，可扩展如JSON Web Token解析、GraphQL测试等高级功能。
• Repeater与Intruder：Repeater支持手动重放和修改请求；Intruder提供自动化参数爆破和模糊测试，适合漏洞验证。
• 协作功能（Collaborator）：企业版提供外部交互监听，可检测带外漏洞（如Blind SQLi、SSRF），无需自建服务器。
• Web Security Academy：免费学习平台，提供交互式实验室，与Burp Suite直接联动，降低学习门槛。

价格分析

Burp Suite的价格在同类工具中属于中等偏贵档位：

• 社区版：完全免费，但功能受限（无扫描器、限速、部分扩展不可用）。
• 专业版：年订阅约399美元（约合人民币2900元），提供全功能扫描器和无限速，适合个人或小团队。
• 企业版：按需定价，通常数千美元起，支持多用户协作和集中管理。

性价比方面，社区版已经能满足手动测试和漏洞验证需求；专业版相比竞品（如Acunetix约5000美元/年）更实惠。需注意：专业版和企业版均为按年订阅，无明确退款政策，购买前建议先试用社区版或申请Demo。无隐藏费用，但扩展插件中部分需付费（如高级爬虫插件），BApp Store大部分免费。

中国用户怎么用

• 网络通畅性：PortSwigger官网（portswigger.net）和Burp Suite下载在国内基本可用，但偶尔可能因网络波动导致更新或下载缓慢。建议使用国内CDN镜像（如阿里云、腾讯云）或代理加速。
• 支付方式：专业版/企业版支持Visa、Mastercard等国际信用卡，不支持支付宝/微信支付。个人用户可尝试通过PayPal绑定国内银行卡支付，企业用户建议联系官方获取发票（支持国际发票，但国内增值税发票需额外沟通）。
• 是否需要科学上网：使用Burp Suite本身无需梯子，但访问BApp Store、在线学院或更新插件时，部分资源可能被墙，建议准备稳定的VPN。
• 国内替代品：免费替代为OWASP ZAP（功能类似但界面较简陋）；商业替代为长亭科技SafeLine（侧重WAF）或阿里云Web应用防火墙（偏检测而非手动测试）。Burp Suite在手动渗透测试领域无完美国产替代。

优缺点对比

优点：

• ✅ 行业标准：渗透测试岗位招聘中Burp Suite是必备技能，社区资源丰富。
• ✅ 扩展性强：BApp Store插件覆盖几乎所有Web安全场景。
• ✅ 免费版可用：社区版无时间限制，适合学习和基础测试。
• ✅ 文档与培训：Web Security Academy与官方文档质量极高，学习路径清晰。

缺点：

• ❌ 学习曲线陡峭：对新手不友好，需理解HTTP协议和漏洞原理。
• ❌ 扫描器性能有限：企业版扫描器在大型应用中可能产生较多误报，需人工验证。
• ❌ 无中文界面：全英文操作，对国内初级用户门槛较高。
• ❌ 退款政策不明确：订阅后如不满意，官方未提供明确退款渠道。
• ❌ 国内支付不便：不支持主流国产支付方式，企业发票流程复杂。

同类产品对比

• OWASP ZAP：完全免费开源，适合预算有限的团队，但扫描引擎和扩展生态不如Burp Suite成熟，手动测试体验稍差。
• Acunetix：商业自动化扫描器，侧重快速发现漏洞，适合非安全专业人员，但价格高昂（约5000美元/年起），且手动测试功能弱。
• PortSwigger vs. 国产工具：国内如安恒Web扫描器、绿盟科技产品偏向合规检测和自动化扫描，缺乏Burp Suite的手动拦截代理和插件生态。

Burp Suite的核心差异在于：它是为人类渗透测试者设计的工具，而非纯自动化扫描器。

总结建议

• 适合场景：
• 个人学习Web安全或参与漏洞赏金计划（社区版足够）。
• 企业安全团队进行手动渗透测试和漏洞验证（专业版性价比高）。
• 需要深度定制测试流程的团队（通过扩展和API集成）。

• 不适合场景：
• 仅需自动化扫描的CI/CD场景（推荐OWASP ZAP或商业扫描器）。
• 预算有限且团队无安全背景的中小企业（建议先使用免费版学习）。
• 必须使用国产支付工具或要求国内发票的用户（需提前联系官方确认）。

建议行动：先从社区版入手，配合Web Security Academy学习，确认能满足需求后再考虑专业版订阅。企业用户可联系PortSwigger销售获取试用License，并明确发票开具细节。