Vad är Burp Suite?

Burp Suite är en svit med verktyg från PortSwigger designad för att hjälpa till med penetrationstestning av webbapplikationer över både HTTP och HTTPS. Det primära verktyget är en proxy utformad för att möjliggöra analys och redigering av webbtrafik. Proxyn kan fånga webbförfrågningar och svar och läsa och redigera dem i realtid innan de når sina respektive destinationer. Versioner finns tillgängliga för Windows, MacOS och Linux, tillsammans med en JAR-fil.

Själva proxyn låter dig konfigurera vilka domäner som har sin webbtrafik avlyssnad och vilken typ av trafik som visas. Till exempel är det användbart att avlyssna webbförfrågningar eftersom du kan redigera dem för att testa hur webbplatsen reagerar på ovanliga förfrågningar, men att fånga upp svaren eftersom det inte finns någon egentlig mening med att redigera dem.

Många av verktygen som ingår i Burp Suite är utformade för att integreras med huvudproxyn och kan ha förfrågningar importerade till dem. Intruder låter dig importera en begäran och sedan konfigurera arrangemanget av nyttolaster att försöka och kan sedan köra igenom dem automatiskt. Med Repeater kan du importera en webbförfrågan och sedan göra manuella ändringar av den och se svaret sida vid sida så att du kan göra mindre justeringar av försök till utnyttjande och enkelt se om det fungerar. En instrumentpanelsfunktion visar en lista över identifierade problem, även om dessa måste kontrolleras manuellt för falska positiva resultat.

Tips: Problemspåraren är en premiumfunktion, medan de automatiserade attackerna är hastighetsbegränsade i gratisversionen.

Sequencer är utformad för att analysera slumpmässigheten hos data som sessions-ID:n, CSRF-tokens och lösenordsåterställningstokens. Analysen kräver mer än 100 prover men kan identifiera svagheter i hur förment slumpmässiga värden genereras. Decoder låter dig avkoda strängar från en rad kodningsstandarder samt låter dig koda data igen. Comparer låter dig jämföra två strängar för att kontrollera om det finns mindre skillnader.

Ett brett utbud av community-skrivna tillägg är tillgängliga gratis från appen, även om vissa kräver funktioner som är begränsade till den betalda versionen av Burp Suite. Den kostnadsfria versionen av Burp Suite stöder de flesta funktioner, en professionell licens för att låsa upp alla funktioner kostar $399 per år, medan en "enterprise edition" kostar $3999 per år, plus $399 per skanningsagent som bara kan läggas till i omgångar om 10.