Що таке Burp Suite?

Burp Suite — це набір інструментів від PortSwigger, призначений для допомоги в тестуванні на проникнення веб-додатків як через HTTP, так і HTTPS. Основним інструментом є проксі, призначений для аналізу та редагування веб-трафіку. Проксі-сервер може перехоплювати веб-запити та відповіді, читати та редагувати їх у режимі реального часу, перш ніж вони досягнуть відповідного місця призначення. Доступні версії для Windows, MacOS і Linux разом із файлом JAR.

Сам проксі-сервер дозволяє налаштувати, які домени перехоплюють веб-трафік і який тип трафіку відображатиметься. Наприклад, перехоплення веб-запитів корисно, оскільки ви можете редагувати їх, щоб перевірити, як веб-сайт реагує на незвичайні запити, але перехоплювати відповіді, оскільки редагувати їх немає реального сенсу.

Багато інструментів, що входять до Burp Suite, розроблені для інтеграції з основним проксі-сервером і можуть мати запити, імпортовані до них. Intruder дозволяє вам імпортувати запит, а потім налаштувати порядок корисних навантажень для спроб, а потім може виконувати їх автоматично. Repeater дозволяє вам імпортувати веб-запит, а потім вносити до нього зміни вручну та переглядати відповідь поряд, що дозволяє вносити незначні зміни у спроби експлойтів і легко перевірити, чи працює він. Функція інформаційної панелі показує список виявлених проблем, хоча їх потрібно вручну перевірити на наявність помилкових спрацьовувань.

Порада: відстеження проблем є преміум-функцією, тоді як у безкоштовній версії швидкість автоматизованих атак обмежена.

Sequencer призначений для аналізу випадковості даних, таких як ідентифікатори сеансів, токени CSRF та маркери скидання пароля. Для аналізу потрібно більше 100 зразків, але він може виявити слабкі місця в тому, як генеруються нібито випадкові значення. Декодер дозволяє декодувати рядки з ряду стандартів кодування, а також дозволяє повторно кодувати дані. Comparer дозволяє порівнювати два рядки, щоб перевірити незначні відмінності.

Широкий спектр створених спільнотою розширень доступний безкоштовно в програмі, хоча деякі вимагають функцій, обмежених платною версією Burp Suite. Безкоштовна версія Burp Suite підтримує більшість функцій, професійна ліцензія на розблокування всіх функцій коштує 399 доларів на рік, тоді як «корпоративна версія» коштує 3999 доларів на рік плюс 399 доларів за агент сканування, який можна додати лише партіями по 10.