Burp Suite este o suită de instrumente de la PortSwigger concepute pentru a ajuta la testarea de penetrare a aplicațiilor web atât prin HTTP, cât și prin HTTPS. Instrumentul principal este un proxy conceput pentru a permite analiza și editarea traficului web. Proxy-ul poate intercepta solicitările și răspunsurile web și le poate citi și edita în timp real înainte ca acestea să ajungă la destinațiile respective. Versiunile sunt disponibile pentru Windows, MacOS și Linux, împreună cu un fișier JAR.
Proxy-ul în sine vă permite să configurați ce domenii au traficul web interceptat și ce fel de trafic este afișat. De exemplu, interceptarea solicitărilor web este utilă, deoarece le puteți edita pentru a testa modul în care site-ul web reacționează la solicitările neobișnuite, totuși interceptarea răspunsurilor, deoarece nu are rost să le editați.
Multe dintre instrumentele incluse în Burp Suite sunt concepute pentru a se integra cu proxy-ul principal și pot avea cereri importate în ele. Intruder vă permite să importați o solicitare și apoi să configurați aranjarea încărcăturilor utile de încercat și apoi le puteți rula automat. Repeatorul vă permite să importați o solicitare web și apoi să îi faceți modificări manuale și să vedeți răspunsul unul lângă altul, permițându-vă să faceți ajustări minore la exploatările încercate și să vedeți cu ușurință dacă este lucru. O funcție de tablou de bord arată o listă a problemelor identificate, deși acestea trebuie verificate manual pentru false pozitive.
Sfat: instrumentul de urmărire a problemelor este o caracteristică premium, în timp ce atacurile automate sunt limitate la rata în versiunea gratuită.
Sequencer este conceput pentru a analiza caracterul aleatoriu al datelor, cum ar fi ID-urile de sesiune, jetoanele CSRF și jetoanele de resetare a parolei. Analiza necesită mai mult de 100 de eșantioane, dar poate identifica punctele slabe în modul în care sunt generate valorile presupus aleatorii. Decoder vă permite să decodați șiruri dintr-o serie de standarde de codare și vă permite să codificați din nou datele. Comparer vă permite să comparați două șiruri pentru a verifica diferențele minore.
O gamă largă de extensii scrise de comunitate este disponibilă gratuit din cadrul aplicației, deși unele necesită funcții limitate la versiunea plătită a Burp Suite. Versiunea gratuită a Burp Suite acceptă majoritatea funcțiilor, o licență profesională pentru a debloca toate funcțiile costă 399 USD a an, în timp ce o „ediție pentru întreprinderi” costă 3999 USD pe an, plus 399 USD per agent de scanare, care poate fi adăugat doar în loturi de 10.