Mis on Burp Suite?

Burp Suite on PortSwiggeri tööriistade komplekt, mis on loodud veebirakenduste läbitungimise testimiseks nii HTTP kui ka HTTPS-i kaudu. Peamine tööriist on puhverserver, mis on loodud veebiliikluse analüüsimiseks ja redigeerimiseks. Puhverserver saab veebipäringuid ja vastuseid pealt kuulata ning neid reaalajas lugeda ja redigeerida, enne kui need vastavatesse sihtkohtadesse jõuavad. Versioonid on saadaval Windowsi, MacOS-i ja Linuxi jaoks koos JAR-failiga.

Puhverserver ise võimaldab teil konfigureerida, milliste domeenide veebiliiklus peatatakse ja millist liiklust näidatakse. Näiteks on kasulik veebipäringute pealtkuulamine, kuna saate neid redigeerida, et testida, kuidas veebisait reageerib ebatavalistele päringutele, kuid vastused pealtkuulamine, kuna nende redigeerimisel pole mõtet.

Paljud Burp Suite'i tööriistad on loodud integreeruma peamise puhverserveriga ja neile saab päringuid importida. Intruder võimaldab teil importida päringu ja seejärel konfigureerida proovimiseks kasulike koormate paigutust ning seejärel neid automaatselt läbi joosta. Repiiter võimaldab teil importida veebipäringu ja seejärel teha selles käsitsi muudatusi ja vaadata vastus kõrvuti, mis võimaldab teil katsetatud ärakasutustes väiksemaid muudatusi teha ja hõlpsalt näha, kas see on nii töötavad. Armatuurlaua funktsioon näitab tuvastatud probleemide loendit, kuigi neid tuleb käsitsi kontrollida valepositiivsete tulemuste suhtes.

Näpunäide. Probleemide jälgija on esmaklassiline funktsioon, samas kui automaatsete rünnakute kiirus on tasuta versioonis piiratud.

Sequencer on loodud selliste andmete juhuslikkuse analüüsimiseks nagu seansi ID-d, CSRF-i märgid ja parooli lähtestamise märgid. Analüüs nõuab rohkem kui 100 proovi, kuid võib tuvastada nõrkusi väidetavate juhuslike väärtuste genereerimisel. Dekooder võimaldab teil dekodeerida stringe paljudest kodeerimisstandarditest ja võimaldab teil andmeid uuesti kodeerida. Võrdleja võimaldab teil võrrelda kahte stringi, et kontrollida väiksemaid erinevusi.

Rakenduses on tasuta saadaval lai valik kogukonna kirjutatud laiendusi, kuigi mõned nõuavad Burp Suite'i tasulise versiooniga piiratud funktsioone. Burp Suite'i tasuta versioon toetab enamikku funktsioone, professionaalne litsents kõigi funktsioonide avamiseks maksab 399 $ a aastal, samas kui ettevõtte väljaanne maksab 3999 dollarit aastas, millele lisandub 399 dollarit skannimisagendi kohta, mida saab lisada ainult partiidena. 10.