问：什么是“Burp Proxy”？它是使用在大型企业环境中呢，还是仅仅为中小型企业以及消费者而设计的呢？

　　Burp Proxy是免费版和专业版Burp Suite的核心部分，它是一个用于调试以及对网络应用程序进行安全检测的集成平台。从性能和安全的角度来看，它无疑可以在企业层面上发挥一定的作用，同时对于那些想要看清网络应用程序如何工作的人来讲，它也是一个有用的工具。特别是渗透测试者会发现它很有帮助，因为它是由一个渗透测试者开发出来的，所以它的许多功能适用于这类工作。

　　Burp Proxy是一个交互式的HTTP和HTTPS协议服务器，它充当着浏览器和网络服务器的中间人角色。这意味着它可以拦截、查看和修改在这两者之间传递的流量。这种修改浏览器请求的能力，使得测试者可以发现应用程序如何工作并处理意外或者恶意的请求，比如SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等。

　　它具有许多功能。例如，当图片和视频正在传输时，你可以处理它们的二进制数据。虽然输出包括了请求和应答的自动着色语法，但通过使用基于域、IP地址、cookies、正文内容以及HTML页标题等各种参数的过滤器，使用者可以修改网络请求和响应，以此来控制哪些请求和应答需要被拦截下来进行人工测试。所有请求和做出的修改都保存在历史记录里，还可以保存到一个文件中，用于进一步的分析或者提供审核线索。

　　Burp Proxy也与Burp Suite中的其它工具紧密集成，所以任何请求或者应答都可以被发送给其它工具用于进一步的处理。Burp Suite的两个版本都包含一个用于映射网站的spider工具，它通过记录所有通过Burp Proxy发出的请求来建立一个详细的站点地图。由此产生的站点地图可以用于选择某些项目，并把它们发送给其它的Burp工具，用于分析或者把它作为一次攻击测试的一部分。这些工具可以在一起协同工作，这加快了人工或者自动测试的速度。

　　Burp在Linux和Windows上均可运行，而且你还可以使用IBurpExtender接口来开发你自己的插件，从而拓展它的功能。专业版的价格是每个用户每年275美元，同时它包括一些额外的工具，比如一个应用程序漏洞扫描器，以及一个用于执行定制攻击来发现和利用罕见漏洞的入侵者工具。如果你有兴趣尝试使用Burp的话，可以在PortSwigger网站上下载免费的版本使用一下。