Hva er Burp Suite?

Burp Suite er en pakke med verktøy fra PortSwigger designet for å hjelpe til med penetrasjonstesting av nettapplikasjoner over både HTTP og HTTPS. Det primære verktøyet er en proxy designet for å tillate analyse og redigering av nettrafikk. Proxyen kan fange opp nettforespørsler og svar og lese og redigere dem i sanntid før de når sine respektive destinasjoner. Versjoner er tilgjengelige for Windows, MacOS og Linux, sammen med en JAR-fil.

Selve proxyen lar deg konfigurere hvilke domener som har nettrafikken sin fanget opp og hva slags trafikk som vises. For eksempel er det nyttig å avskjære nettforespørsler ettersom du kan redigere dem for å teste hvordan nettstedet reagerer på uvanlige forespørsler, men å avskjære svarene siden det ikke er noe poeng i å redigere dem.

Mange av verktøyene som er inkludert i Burp Suite er designet for å integreres med hovedproxyen og kan ha forespørsler importert til dem. Intruder lar deg importere en forespørsel og deretter konfigurere ordningen med nyttelaster for å prøve og kan deretter kjøre gjennom dem automatisk. Repeater lar deg importere en nettforespørsel og deretter gjøre manuelle endringer i den og se svar side om side slik at du kan gjøre mindre justeringer av forsøk på utnyttelser og enkelt se om det er det jobber. En dashbordfunksjon viser en liste over identifiserte problemer, selv om disse må kontrolleres manuelt for falske positiver.

Tips: Problemsporingen er en premiumfunksjon, mens de automatiserte angrepene er hastighetsbegrenset i gratisversjonen.

Sequencer er designet for å analysere tilfeldigheten til data som økt-ID-er, CSRF-tokens og tilbakestillingssymboler for passord. Analysen krever mer enn 100 prøver, men kan identifisere svakheter i hvordan antatt tilfeldige verdier genereres. Dekoder lar deg dekode strenger fra en rekke kodingsstandarder, i tillegg til at du kan kode data på nytt. Comparer lar deg sammenligne to strenger for å se etter mindre forskjeller.

Et bredt spekter av fellesskapsskrevne utvidelser er tilgjengelig gratis fra appen, selv om noen krever funksjoner begrenset til den betalte versjonen av Burp Suite. Gratisversjonen av Burp Suite støtter de fleste funksjoner, en profesjonell lisens for å låse opp alle funksjonene koster $399 per år, mens en "bedriftsutgave" koster $3999 i året, pluss $399 per skanneragent som bare kan legges til i grupper av 10.