Mikä Burp Suite on?

Burp Suite on PortSwiggerin työkalusarja, joka on suunniteltu auttamaan verkkosovellusten läpäisevyyden testaamisessa sekä HTTP- että HTTPS: n kautta. Ensisijainen työkalu on välityspalvelin, joka on suunniteltu mahdollistamaan verkkoliikenteen analysointi ja muokkaaminen. Välityspalvelin voi siepata verkkopyynnöt ja vastaukset sekä lukea ja muokata niitä reaaliajassa ennen kuin ne saavuttavat määränpäänsä. Versiot ovat saatavilla Windowsille, MacOS: lle ja Linuxille sekä JAR-tiedosto.

Itse välityspalvelimen avulla voit määrittää, minkä verkkotunnusten verkkoliikenne kaapataan ja millaista liikennettä näytetään. Esimerkiksi verkkopyyntöjen sieppaaminen on hyödyllistä, koska voit muokata niitä testataksesi, kuinka verkkosivusto reagoi epätavallisiin pyyntöihin, mutta siepata vastaukset, koska niiden muokkaamisessa ei ole mitään järkeä.

Monet Burp Suiteen sisältyvät työkalut on suunniteltu integroitumaan päävälityspalvelimeen, ja niihin voidaan tuoda pyyntöjä. Intruderin avulla voit tuoda pyynnön ja sitten määrittää hyötykuormien järjestyksen yrittämistä varten ja suorittaa ne sitten automaattisesti. Toistimen avulla voit tuoda verkkopyynnön ja tehdä siihen manuaalisia muutoksia ja nähdä vastaukset vierekkäin, jolloin voit tehdä pieniä muutoksia hyväksikäyttöyrityksiin ja nähdä helposti, onko näin työskentelee. Kojelautaominaisuus näyttää luettelon tunnistetuista ongelmista, vaikka ne on tarkistettava manuaalisesti väärien positiivisten tulosten varalta.

Vinkki: Ongelmanseuranta on premium-ominaisuus, kun taas automaattisten hyökkäysten nopeus on rajoitettu ilmaisessa versiossa.

Sequencer on suunniteltu analysoimaan tietojen, kuten istuntotunnusten, CSRF-tunnisteiden ja salasanan palautustunnusten, satunnaisuutta. Analyysi vaatii yli 100 näytettä, mutta se voi tunnistaa heikkouksia siinä, miten oletettavasti satunnaisia ​​arvoja syntyy. Dekooderin avulla voit purkaa merkkijonoja useista koodausstandardeista sekä antaa sinun koodata tietoja uudelleen. Comparerin avulla voit verrata kahta merkkijonoa pienten erojen tarkistamiseksi.

Laaja valikoima yhteisön kirjoittamia laajennuksia on saatavilla ilmaiseksi sovelluksesta, vaikka jotkut vaativat ominaisuuksia, jotka on rajoitettu Burp Suiten maksulliseen versioon. Burp Suiten ilmainen versio tukee useimpia ominaisuuksia, ammattikäyttöoikeus kaikkien ominaisuuksien avaamiseen maksaa 399 dollaria a vuosi, kun taas "yrityspainos" maksaa 3999 dollaria vuodessa sekä 399 dollaria skannausagenttia kohden, joka voidaan lisätä vain erissä 10.