Co to jest pakiet Burp?

Burp Suite to zestaw narzędzi firmy PortSwigger zaprojektowany, aby pomóc w testach penetracyjnych aplikacji internetowych zarówno przez HTTP, jak i HTTPS. Podstawowym narzędziem jest proxy zaprojektowane w celu umożliwienia analizy i edycji ruchu w sieci. Serwer proxy może przechwytywać żądania i odpowiedzi internetowe oraz czytać i edytować je w czasie rzeczywistym, zanim dotrą do odpowiednich miejsc docelowych. Dostępne są wersje dla systemów Windows, MacOS i Linux wraz z plikiem JAR.

Sam serwer proxy pozwala skonfigurować, które domeny mają przechwytywany ruch sieciowy i jaki rodzaj ruchu jest wyświetlany. Na przykład przechwytywanie żądań internetowych jest pomocne, ponieważ można je edytować, aby sprawdzić, jak witryna reaguje na nietypowe żądania, jednak przechwytuje odpowiedzi, ponieważ nie ma sensu ich edytować.

Wiele narzędzi zawartych w pakiecie Burp Suite jest zaprojektowanych do integracji z głównym serwerem proxy i można do nich importować żądania. Intruder pozwala zaimportować żądanie, a następnie skonfigurować rozmieszczenie ładunków do próby, a następnie może je automatycznie uruchomić. Repeater umożliwia zaimportowanie żądania internetowego, a następnie wprowadzenie w nim ręcznych modyfikacji i zobaczenie odpowiedzi obok siebie, co pozwala wprowadzać drobne poprawki w próbach wykorzystania exploitów i łatwo sprawdzać, czy tak jest pracujący. Funkcja pulpitu nawigacyjnego pokazuje listę zidentyfikowanych problemów, chociaż należy je ręcznie sprawdzić pod kątem fałszywych alarmów.

Wskazówka: śledzenie problemów jest funkcją premium, podczas gdy w wersji darmowej automatyczne ataki są ograniczone.

Sequencer jest przeznaczony do analizy losowości danych, takich jak identyfikatory sesji, tokeny CSRF i tokeny resetowania hasła. Analiza wymaga ponad 100 próbek, ale może zidentyfikować słabości w sposobie generowania rzekomo losowych wartości. Dekoder umożliwia dekodowanie ciągów znaków z różnych standardów kodowania, a także umożliwia ponowne kodowanie danych. Comparer umożliwia porównanie dwóch ciągów w celu sprawdzenia drobnych różnic.

Szeroka gama rozszerzeń napisanych przez społeczność jest dostępna bezpłatnie z poziomu aplikacji, chociaż niektóre wymagają funkcji ograniczonych do płatnej wersji pakietu Burp Suite. Darmowa wersja Burp Suite obsługuje większość funkcji, profesjonalna licencja na odblokowanie wszystkich funkcji kosztuje 399 USD rocznie rocznie, podczas gdy „edycja dla przedsiębiorstw” kosztuje 3999 USD rocznie, plus 399 USD za agenta skanującego, który można dodać tylko w partiach 10.