מהי Burp Suite?

Burp Suite היא חבילת כלים מ-PortSwigger שנועדה לסייע בבדיקות חדירה של יישומי אינטרנט גם ב-HTTP וגם ב-HTTPS. הכלי העיקרי הוא פרוקסי שנועד לאפשר ניתוח ועריכה של תעבורת אינטרנט. ה-proxy יכול ליירט בקשות ותגובות אינטרנט ולקרוא ולערוך אותם בזמן אמת לפני שהם מגיעים ליעדים שלהם. גרסאות זמינות עבור Windows, MacOS ו-Linux, יחד עם קובץ JAR.

ה-proxy עצמו מאפשר לך להגדיר באילו דומיינים יורטו תעבורת האינטרנט שלהם ואיזה סוג תעבורה מוצג. לדוגמה, יירוט בקשות אינטרנט מועיל מכיוון שאתה יכול לערוך אותן כדי לבדוק כיצד האתר מגיב לבקשות חריגות, אולם ליירט את התגובות מכיוון שאין טעם אמיתי לערוך אותן.

רבים מהכלים הכלולים ב-Burp Suite מיועדים להשתלב עם ה-proxy הראשי ויכולים להיות מיובאים אליהם בקשות. Intruder מאפשר לך לייבא בקשה ולאחר מכן להגדיר סידור מטענים לניסיון ולאחר מכן יכול לרוץ דרכם באופן אוטומטי. Repeater מאפשר לך לייבא בקשת אינטרנט ולאחר מכן לבצע בה שינויים ידניים ולראות את תגובה זו לצד זו מאפשרת לך לבצע התאמות קלות לניסיונות ניצול ולראות בקלות אם כן עובד. תכונה של לוח מחוונים מציגה רשימה של בעיות שזוהו, אם כי יש לבדוק אותן באופן ידני עבור תוצאות חיוביות שגויות.

טיפ: עוקב הבעיות הוא תכונת פרימיום, בעוד שההתקפות האוטומטיות מוגבלות בקצב בגרסה החינמית.

Sequencer נועד לנתח את האקראיות של נתונים כגון מזהי הפעלה, אסימוני CSRF ואסימוני איפוס סיסמה. הניתוח דורש יותר מ-100 דגימות אך יכול לזהות חולשות באופן שבו נוצרים ערכים אקראיים כביכול. מפענח מאפשר לך לפענח מחרוזות ממגוון תקני קידוד וכן מאפשר לך לקודד נתונים שוב. Comparer מאפשר לך להשוות בין שתי מחרוזות כדי לבדוק הבדלים מינוריים.

מגוון רחב של הרחבות שנכתבו בקהילה זמין בחינם מתוך האפליקציה, אם כי חלקם דורשים תכונות מוגבלות לגרסה בתשלום של Burp Suite. הגרסה החינמית של Burp Suite תומכת ברוב התכונות, רישיון מקצועי לפתיחת כל התכונות עולה $399 ל שנה, בעוד "מהדורה ארגונית" עולה $3999 לשנה, בתוספת $399 לסוכן סריקה שניתן להוסיף רק בקבוצות של 10.