Burp Suite – це інтегрована платформа, призначена для проведення аудиту веб-додатка, як у ручному, так і в автоматичних режимах. Містить інтуїтивно зрозумілий інтерфейс зі спеціально спроектованими табами, що дають змогу поліпшити і прискорити процес атаки. Сам інструмент являє собою проксірувальний механізм, що перехоплює і обробляє всі запити, які надходять від браузера. Є можливість встановлення сертифіката burp для аналізу https з’єднань.
Містить інструменти для складання карти веб-додатка, пошуку файлів і папок, модифікації запитів, фаззингу, підбору паролів і багато іншого. Також існує магазин додатків BApp store, що містить додаткові розширення, які збільшують функціонал програми.
Це найпопулярніший набір утиліт для тестування веб-додатків. Якщо подивитися статистику і репорти bug-bounty програм – практично скрізь на скріншотах можна зустріти використання цього інструменту.
Основний функціонал заснований на таких модулях:
- Proxy – проксі-сервер, що перехоплює проксі-сервер, який працює за протоколом HTTP(S) у режимі man-in-the-middle. Перебуваючи між браузером і веб-додатком, він дасть вам змогу перехоплювати, вивчати і змінювати трафік, що йде в обох напрямках.
- Spider – павук або краулер, що дає змогу вам в автоматичному режимі збирати інформацію про архітектуру веб-додатка.
- Scanner – автоматичний сканер вразливостей (OWASP TOP 10 і т. д.) Доступний у Professional версії, у безкоштовній версії тільки опис можливостей.
- Intruder – утиліта, що дає змогу в автоматичному режимі здійснювати атаки різного виду, як-от підбір пароля, перебір ідентифікаторів, фаззинг тощо.
- Repeater – утиліта для модифікування і повторного надсилання окремих HTTP-запитів і аналізу відповідей програми.
- Sequencer – утиліта для аналізу генерації випадкових даних застосунку, виявлення алгоритму генерації, предиктивності даних.
- Decoder – утиліта для ручного або автоматичного перетворення даних веб-додатка.
Comparer – утиліта для виявлення відмінностей у даних. - Extender – розширення в BurpSuite. Можна додавати як готові з BApp store, так і власної розробки.
Одна з основних утиліт для тестування це Burp Intruder. Принцип його роботи полягає в такому: він обробляє кожен HTTP-запит (званий “базовим запитом”), змінюючи параметри різними способами, видаючи кожну змінену версію запиту та аналізуючи відповіді застосунку для ідентифікації цікавих функцій або поведінки веб-додатку.
Burp Intruder дає змогу виділити такі види атак:
- Sniper – використовується окремий набір даних – одне поле (ділянка, позначена маркерами) – один пейлоад. Цей тип атак корисний під час індивідуального тестування полів на наявність загальних вразливостей (таких як XSS).
- Battering ram – за такого виду атак використовується принцип – усі поля – один пейлоад. Це може стати в пригоді, коли для здійснення атаки необхідно поміщати одні й ті самі дані відразу в безліч позицій.
- Pitchfork – цей вид атак використовує кілька пейлодів для кількох полів. Наприклад, під час першого запиту перший рядок із першого перевірочного набору буде поміщено на перше місце, позначене маркерами. А перший рядок із другого набору поміститься на другу позицію. Під час формування другого запиту на перше місце буде поміщено другий рядок із першого набору, а на друге – другий рядок із другого набору. Такий вид атак може стати в пригоді в ситуаціях, коли застосунку потрібно відсилати весь час різні, але якимось чином взаємопов’язані дані. Наприклад, якщо необхідно надсилати ім’я користувача в одному полі та його ID в іншому.
- Сluster bomb – цей вид атак використовує перебір основного набору пейлоадів і додавання вторинних. Це зручно використовувати, наприклад, для підбору паролів: під час першого запиту Intruder помістить на першу позицію перший рядок із першого набору пейлоадів, на другу – перший рядок із другого. Під час другого запиту на першому місці залишиться перший рядок першого набору, а на другий буде поміщено другий рядок другого набору. Потім третій, і так далі.
Где купить? По вопросам приобретения обращайтесь к нам