Burp Suite - это набор инструментов от PortSwigger, предназначенный для помощи в тестировании веб-приложений на проникновение через HTTP и HTTPS. Основной инструмент - это прокси, предназначенный для анализа и редактирования веб-трафика. Прокси-сервер может перехватывать веб-запросы и ответы, а также читать и редактировать их в режиме реального времени, прежде чем они достигнут своего назначения. Доступны версии для Windows, MacOS и Linux вместе с файлом JAR.
Сам прокси позволяет вам настроить, для каких доменов будет перехватываться веб-трафик и какой тип трафика будет отображаться. Например, перехват веб-запросов полезен, поскольку вы можете редактировать их, чтобы проверить, как веб-сайт реагирует на необычные запросы, однако перехватывая ответы, поскольку их нет реального смысла редактировать.
Многие инструменты, включенные в Burp Suite, предназначены для интеграции с основным прокси-сервером, и в них можно импортировать запросы. Intruder позволяет вам импортировать запрос, а затем настроить порядок полезных нагрузок для попытки и затем обработать их автоматически. Repeater позволяет импортировать веб-запрос, а затем вносить в него изменения вручную и видеть параллельный ответ, позволяющий внести незначительные корректировки в попытки использования уязвимостей и легко проверить, работающий. На панели инструментов отображается список выявленных проблем, хотя их необходимо вручную проверять на наличие ложных срабатываний.
Совет: средство отслеживания проблем - это премиум-функция, а в бесплатной версии автоматические атаки ограничены по скорости.
Sequencer предназначен для анализа случайности данных, таких как идентификаторы сеанса, токены CSRF и токены сброса пароля. Для анализа требуется более 100 образцов, но он может выявить слабые места в том, как генерируются предположительно случайные значения. Decoder позволяет декодировать строки из ряда стандартов кодирования, а также позволяет повторно кодировать данные. Comparer позволяет сравнивать две строки, чтобы проверить наличие незначительных различий.
Широкий спектр написанных сообществом расширений доступен бесплатно из приложения, хотя для некоторых требуются функции, ограниченные платной версией Burp Suite. Бесплатная версия Burp Suite поддерживает большинство функций, профессиональная лицензия на разблокировку всех функций стоит 399 долларов в год. в год, в то время как «корпоративная версия» стоит 3999 долларов в год плюс 399 долларов за агент сканирования, который может быть добавлен только партиями 10.