Burp Suite es un conjunto de herramientas de PortSwigger diseñado para ayudar en las pruebas de penetración de aplicaciones web a través de HTTP y HTTPS. La herramienta principal es un proxy diseñado para permitir el análisis y la edición del tráfico web. El proxy puede interceptar solicitudes y respuestas web y leerlas y editarlas en tiempo real antes de que lleguen a sus respectivos destinos. Hay versiones disponibles para Windows, MacOS y Linux, junto con un archivo JAR.
El proxy en sí le permite configurar qué dominios tienen su tráfico web interceptado y qué tipo de tráfico se muestra. Por ejemplo, interceptar solicitudes web es útil, ya que puede editarlas para probar cómo reacciona el sitio web a solicitudes inusuales, pero intercepta las respuestas, ya que no tiene sentido editarlas.
Muchas de las herramientas incluidas en Burp Suite están diseñadas para integrarse con el proxy principal y pueden importarle solicitudes. Intruder le permite importar una solicitud y luego configurar la organización de cargas útiles para intentar y luego ejecutarlas automáticamente. Repeater le permite importar una solicitud web y luego realizar modificaciones manuales y ver la respuesta lado a lado, lo que le permite hacer ajustes menores a los intentos de explotación y ver fácilmente si es laboral. Una función de panel muestra una lista de problemas identificados, aunque estos deben revisarse manualmente para detectar falsos positivos.
Consejo: el rastreador de problemas es una función premium, mientras que los ataques automatizados tienen una tasa limitada en la versión gratuita.
El secuenciador está diseñado para analizar la aleatoriedad de datos como ID de sesión, tokens CSRF y tokens de restablecimiento de contraseña. El análisis requiere más de 100 muestras, pero puede identificar debilidades en cómo se generan los valores supuestamente aleatorios. Decoder le permite decodificar cadenas de una variedad de estándares de codificación y también le permite codificar datos nuevamente. Comparer le permite comparar dos cadenas para verificar diferencias menores.
Una amplia gama de extensiones escritas por la comunidad está disponible de forma gratuita desde la aplicación, aunque algunas requieren funciones limitadas a la versión paga de Burp Suite. La versión gratuita de Burp Suite es compatible con la mayoría de las funciones, una licencia profesional para desbloquear todas las funciones cuesta $ 399 por año, mientras que una "edición empresarial" cuesta $ 3999 al año, más $ 399 por agente de escaneo que solo se puede agregar en lotes de 10.