Burp Suite è una suite di strumenti di PortSwigger progettata per aiutare nei test di penetrazione delle applicazioni web sia su HTTP che su HTTPS. Lo strumento principale è un proxy progettato per consentire l'analisi e la modifica del traffico web. Il proxy può intercettare richieste e risposte web e leggerle e modificarle in tempo reale prima che raggiungano le rispettive destinazioni. Sono disponibili versioni per Windows, MacOS e Linux, insieme a un file JAR.
Il proxy stesso ti consente di configurare quali domini hanno il loro traffico web intercettato e quale tipo di traffico viene mostrato. Ad esempio, l'intercettazione delle richieste Web è utile in quanto è possibile modificarle per verificare come il sito Web reagisce a richieste insolite, tuttavia intercettare le risposte poiché non ha senso modificarle.
Molti degli strumenti inclusi in Burp Suite sono progettati per integrarsi con il proxy principale e possono avere richieste importate in essi. Intruder ti consente di importare una richiesta e quindi configurare la disposizione dei payload da tentare e quindi eseguirli automaticamente. Ripetitore ti consente di importare una richiesta web e quindi apportare modifiche manuali ad essa e vedere il risposta fianco a fianco che consente di apportare piccole modifiche ai tentativi di exploit e vedere facilmente se lo è Lavorando. Una funzione della dashboard mostra un elenco di problemi identificati, sebbene questi debbano essere controllati manualmente per i falsi positivi.
Suggerimento: il tracker dei problemi è una funzionalità premium, mentre gli attacchi automatici sono a velocità limitata nella versione gratuita.
Sequencer è progettato per analizzare la casualità di dati come ID di sessione, token CSRF e token di reimpostazione della password. L'analisi richiede più di 100 campioni, ma può identificare punti deboli nel modo in cui vengono generati valori presumibilmente casuali. Decoder consente di decodificare stringhe da una gamma di standard di codifica e consente di codificare nuovamente i dati. Comparer consente di confrontare due stringhe per verificare differenze minori.
Un'ampia gamma di estensioni scritte dalla community è disponibile gratuitamente all'interno dell'app, sebbene alcune richiedano funzionalità limitate alla versione a pagamento di Burp Suite. La versione gratuita di Burp Suite supporta la maggior parte delle funzionalità, una licenza professionale per sbloccare tutte le funzionalità costa $ 399 a anno, mentre una "edizione aziendale" costa $ 3999 all'anno, più $ 399 per agente di scansione che può essere aggiunto solo in lotti di 10.