Mi az a Burp Suite?

A Burp Suite a PortSwigger eszközkészlete, amelyet arra terveztek, hogy segítse a webalkalmazások behatolási tesztelését HTTP-n és HTTPS-en egyaránt. Az elsődleges eszköz egy proxy, amely lehetővé teszi a webes forgalom elemzését és szerkesztését. A proxy képes elfogni a webes kéréseket és válaszokat, és valós időben elolvasni és szerkeszteni, mielőtt elérnék a megfelelő célállomást. A verziók elérhetők Windows, MacOS és Linux rendszerre, JAR-fájllal együtt.

Maga a proxy lehetővé teszi annak konfigurálását, hogy mely tartományok webforgalmát elfogják, és milyen forgalom jelenjen meg. Például a webes kérések elfogása hasznos, mivel szerkesztheti őket, hogy tesztelje, hogyan reagál a webhely a szokatlan kérésekre, azonban elfogja a válaszokat, mivel nincs értelme szerkeszteni őket.

A Burp Suite számos eszközét úgy tervezték, hogy integrálódjanak a fő proxyval, és kérések importálhatók rájuk. Az Intruder lehetővé teszi egy kérés importálását, majd a hasznos terhek elrendezésének beállítását a kísérlethez, majd automatikusan átfut rajtuk. A Repeater lehetővé teszi, hogy importáljon egy webes kérést, majd manuálisan módosítsa azt, és egymás mellett nézze meg a választ, így kisebb módosításokat hajthat végre a megkísérelt kizsákmányolásokon, és könnyen ellenőrizheti, hogy működik-e. Az irányítópult funkció megjeleníti az azonosított problémák listáját, bár ezeket manuálisan ellenőrizni kell, hogy nem találnak-e téves pozitívumot.

Tipp: A problémakövető prémium szolgáltatás, míg az automatikus támadások sebessége korlátozott az ingyenes verzióban.

A Sequencer az adatok véletlenszerűségének elemzésére szolgál, például munkamenet-azonosítók, CSRF-tokenek és jelszó-visszaállítási tokenek. Az elemzéshez több mint 100 mintára van szükség, de képes azonosítani a feltételezett véletlenszerű értékek generálásának hiányosságait. A Dekóder lehetővé teszi a karakterláncok dekódolását számos kódolási szabványból, valamint lehetővé teszi az adatok ismételt kódolását. Az Összehasonlító lehetővé teszi két karakterlánc összehasonlítását a kisebb eltérések ellenőrzéséhez.

A közösség által írt bővítmények széles skálája ingyenesen elérhető az alkalmazáson belül, bár néhányhoz csak a Burp Suite fizetős verziójára van szükség. A Burp Suite ingyenes verziója a legtöbb funkciót támogatja, az összes funkció feloldásához szükséges professzionális licenc évente 399 dollárba kerül, míg a „vállalati kiadás” évi 3999 dollárba, plusz 399 dollárba kerül szkennelő ügynökönként, amely csak 10-es kötegekben adható hozzá.