Burp Suite는 HTTP 및 HTTPS를 통해 웹 애플리케이션의 침투 테스트를 지원하도록 설계된 PortSwigger의 도구 모음입니다. 기본 도구는 웹 트래픽의 분석 및 편집을 허용하도록 설계된 프록시입니다. 프록시는 웹 요청 및 응답을 가로채서 해당 대상에 도달하기 전에 실시간으로 읽고 편집할 수 있습니다. JAR 파일과 함께 Windows, MacOS 및 Linux용 버전을 사용할 수 있습니다.
프록시 자체를 사용하면 웹 트래픽을 가로채는 도메인과 표시되는 트래픽 종류를 구성할 수 있습니다. 예를 들어 웹 요청을 가로채는 것은 웹사이트가 비정상적인 요청에 어떻게 반응하는지 테스트하기 위해 편집할 수 있기 때문에 유용하지만 편집에 실제 의미가 없기 때문에 응답을 가로챕니다.
Burp Suite에 포함된 많은 도구는 기본 프록시와 통합하도록 설계되었으며 요청을 가져올 수 있습니다. Intruder를 사용하면 요청을 가져온 다음 시도할 페이로드 배열을 구성하고 자동으로 실행할 수 있습니다. Repeater를 사용하면 웹 요청을 가져온 다음 수동으로 수정하고 볼 수 있습니다. 동시에 대응하여 시도된 익스플로잇을 약간 조정하고 공격 여부를 쉽게 확인할 수 있습니다. 일하고있는. 대시보드 기능은 확인된 문제 목록을 표시하지만 이러한 문제는 수동으로 오탐지를 확인해야 합니다.
팁: 문제 추적기는 프리미엄 기능이지만 자동 공격은 무료 버전에서 비율이 제한됩니다.
Sequencer는 세션 ID, CSRF 토큰 및 암호 재설정 토큰과 같은 데이터의 임의성을 분석하도록 설계되었습니다. 분석에는 100개 이상의 샘플이 필요하지만 무작위 값이 생성되는 방식의 약점을 식별할 수 있습니다. 디코더를 사용하면 다양한 인코딩 표준의 문자열을 디코딩할 수 있을 뿐만 아니라 데이터를 다시 인코딩할 수 있습니다. Comparer를 사용하면 두 문자열을 비교하여 사소한 차이점을 확인할 수 있습니다.
광범위한 커뮤니티 작성 확장 프로그램은 앱 내에서 무료로 사용할 수 있지만 일부는 Burp Suite 유료 버전으로 제한된 기능을 필요로 합니다. Burp Suite의 무료 버전은 대부분의 기능을 지원합니다. 모든 기능을 잠금 해제할 수 있는 전문가 라이선스는 $399입니다. "엔터프라이즈 에디션"은 연간 3,999달러에 스캔 에이전트당 399달러로 배치로만 추가할 수 있습니다. 10.