Burp Suiteは、HTTPとHTTPSの両方を介したWebアプリケーションの侵入テストを支援するように設計されたPortSwiggerのツールスイートです。 主要なツールは、Webトラフィックの分析と編集を可能にするように設計されたプロキシです。 プロキシは、Web要求と応答をインターセプトし、それぞれの宛先に到達する前にリアルタイムでそれらを読み取って編集できます。 バージョンは、JARファイルとともに、Windows、MacOS、およびLinuxで使用できます。
プロキシ自体を使用すると、Webトラフィックをインターセプトするドメインと、表示するトラフィックの種類を構成できます。 たとえば、ウェブリクエストを傍受すると、ウェブサイトが異常なリクエストにどのように反応するかをテストするために編集できるので便利ですが、編集する意味がないため、応答を傍受します。
Burp Suiteに含まれるツールの多くは、メインプロキシと統合するように設計されており、リクエストをインポートすることができます。 Intruderを使用すると、リクエストをインポートしてから、ペイロードの配置を構成して試行し、それらを自動的に実行できます。 リピーターを使用すると、Webリクエストをインポートして手動で変更し、 並べて応答することで、悪用の試みを微調整し、それが悪用されているかどうかを簡単に確認できます。 働く。 ダッシュボード機能には、特定された問題のリストが表示されますが、これらは誤検知がないか手動でチェックする必要があります。
ヒント:課題追跡システムはプレミアム機能ですが、無料バージョンでは自動攻撃のレートが制限されています。
Sequencerは、セッションID、CSRFトークン、パスワードリセットトークンなどのデータのランダム性を分析するように設計されています。 分析には100を超えるサンプルが必要ですが、ランダムな値が生成されていると思われる方法の弱点を特定できます。 デコーダーを使用すると、さまざまなエンコード標準から文字列をデコードできるだけでなく、データを再度エンコードすることもできます。 Comparerを使用すると、2つの文字列を比較して、小さな違いを確認できます。
コミュニティで作成されたさまざまな拡張機能をアプリ内から無料で利用できますが、有料バージョンのBurpSuiteに限定された機能が必要なものもあります。 Burp Suiteの無料バージョンはほとんどの機能をサポートしており、すべての機能のロックを解除するためのプロフェッショナルライセンスの費用は1年あたり399ドルです。 「エンタープライズエディション」の価格は年間3999ドルで、スキャンエージェントあたり399ドルで、次のバッチでのみ追加できます。 10.