Що таке Burp Suite?

Burp Suite — це набір інструментів від PortSwigger, призначений для допомоги в тестуванні на проникнення веб-додатків через HTTP і HTTPS. Основним інструментом є проксі, призначений для аналізу та редагування веб-трафіку. Проксі-сервер може перехоплювати веб-запити та відповіді, читати та редагувати їх у режимі реального часу, перш ніж вони досягнуть відповідного місця призначення. Доступні версії для Windows, MacOS і Linux разом із файлом JAR.

Сам проксі-сервер дозволяє налаштувати, які домени перехоплюють веб-трафік і який тип трафіку відображатиметься. Наприклад, перехоплення веб-запитів корисно, оскільки ви можете редагувати їх, щоб перевірити, як веб-сайт реагує на незвичайні запити, але перехоплювати відповіді, оскільки редагувати їх немає сенсу.

Багато інструментів, що входять до Burp Suite, розроблені для інтеграції з основним проксі-сервером і можуть мати запити, імпортовані до них. Intruder дозволяє вам імпортувати запит, а потім налаштувати порядок корисних навантажень для спроб, а потім може виконувати їх автоматично. Repeater дозволяє вам імпортувати веб-запит, а потім вручну вносити до нього зміни та переглядати відповідь пліч-о-пліч, що дозволяє вам вносити незначні корективи у спроби експлойтів і легко перевірити, чи це так робочий. Функція інформаційної панелі показує список виявлених проблем, хоча їх потрібно вручну перевірити на наявність помилкових спрацьовувань.

Порада: відстеження проблем є преміум-функцією, тоді як у безкоштовній версії швидкість автоматизованих атак обмежена.

Sequencer призначений для аналізу випадковості даних, таких як ідентифікатори сеансів, токени CSRF та маркери скидання пароля. Для аналізу потрібно більше 100 зразків, але він може виявити слабкі місця в тому, як генеруються нібито випадкові значення. Декодер дозволяє декодувати рядки з ряду стандартів кодування, а також дозволяє повторно кодувати дані. Comparer дозволяє порівнювати два рядки, щоб перевірити незначні відмінності.

Широкий спектр створених спільнотою розширень доступний безкоштовно в програмі, хоча деякі вимагають функцій, обмежених платною версією Burp Suite. Безкоштовна версія Burp Suite підтримує більшість функцій, професійна ліцензія на розблокування всіх функцій коштує 399 доларів США рік, тоді як «видання для підприємства» коштує 3999 доларів США на рік плюс 399 доларів США за агент сканування, який можна додавати лише партіями 10.