Какво е Burp Suite?

Burp Suite е набор от инструменти от PortSwigger, предназначени да подпомогнат тестването за проникване на уеб приложения през HTTP и HTTPS. Основният инструмент е прокси, предназначен да позволи анализ и редактиране на уеб трафик. Проксито може да прихваща уеб заявки и отговори и да ги чете и редактира в реално време, преди да достигнат съответните дестинации. Предлагат се версии за Windows, MacOS и Linux, заедно с JAR файл.

Самият прокси ви позволява да конфигурирате кои домейни имат прихващан уеб трафик и какъв вид трафик се показва. Например, прихващането на уеб заявки е полезно, тъй като можете да ги редактирате, за да тествате как уебсайтът реагира на необичайни заявки, но прихващането на отговорите, тъй като няма реален смисъл от редактирането им.

Много от инструментите, включени в Burp Suite, са проектирани да се интегрират с главния прокси и могат да имат импортирани заявки към тях. Intruder ви позволява да импортирате заявка и след това да конфигурирате подреждане на полезни товари, за да се опитате и след това може да премине през тях автоматично. Repeater ви позволява да импортирате уеб заявка и след това да правите ръчни модификации в нея и да видите отговора един до друг, което ви позволява да правите малки корекции на опитите за експлойти и лесно да видите дали работи. Функцията на таблото за управление показва списък с идентифицирани проблеми, въпреки че те трябва да бъдат проверени ръчно за фалшиви положителни резултати.

Съвет: Проследяването на проблеми е първокласна функция, докато автоматичните атаки са с ограничена скорост в безплатната версия.

Sequencer е проектиран да анализира произволността на данни като идентификатори на сесии, CSRF токени и токени за нулиране на парола. Анализът изисква повече от 100 проби, но може да идентифицира слабости в начина, по който се генерират предполагаемо произволни стойности. Декодерът ви позволява да декодирате низове от редица стандарти за кодиране, както и ви позволява да кодирате данни отново. Comparer ви позволява да сравнявате два низа, за да проверите за малки разлики.

Широка гама от написани от общността разширения е достъпна безплатно от приложението, въпреки че някои изискват функции, ограничени до платената версия на Burp Suite. Безплатната версия на Burp Suite поддържа повечето функции, професионален лиценз за отключване на всички функции струва $399 на година, докато „издание за предприятие“ струва $3999 на година, плюс $399 на агент за сканиране, който може да се добави само в партиди от 10.