Что такое Burp suite и как им пользоваться?

Burp Suite — это интегрированная платформа для тестирования безопасности веб-приложений как в ручном, так и в автоматических режимах. blog.skillfactory.ru Работает на всех популярных операционных системах. blog.skillfactory.ru

Выпускается в трёх различных по функциональности редакциях: blog.skillfactory.ru

• Burp Suite Enterprise Edition — корпоративная версия. blog.skillfactory.ru
• Burp Suite Professional — версия для профессиональных тестировщиков. blog.skillfactory.ru
• Burp Suite Community Edition — бесплатная версия для начинающих специалистов по кибербезопасности. blog.skillfactory.ru

Некоторые инструменты Burp Suite и их назначение:

• Scanner — используется для автоматического сканирования веб-сайтов на наличие контента и уязвимостей в системе безопасности. dzen.ru
• Intruder — позволяет выполнять индивидуальные автоматические атаки и все виды тестовых задач. dzen.ru
• Repeater — используется для ручного изменения и повторного выполнения отдельных HTTP-запросов. dzen.ru
• Spider — паук для сбора информации на сайтах. losst.pro
• Decoder — позволяет преобразовывать биты прикладных данных, используя общие схемы кодирования и декодирования. dzen.ru
• Comparer — используется для визуального сравнения битов данных приложения и поиска интересных различий. dzen.ru

Чтобы воспользоваться Burp Suite, нужно:

1. Настроить прокси. blog.skillfactory.ru losst.pro Для работы с пакетом можно использовать как привычный, так и встроенный браузер: все запросы к сайтам проходят через прокси Burp Suite. blog.skillfactory.ru При необходимости запросы и ответы можно не только перехватывать, но и редактировать. blog.skillfactory.ru Чтобы включить перехват данных, нужно открыть вкладку Proxy и в разделе Intercept нажать кнопку Intercept is off. blog.skillfactory.ru Затем нужно нажать кнопку Open Browser — запустится встроенный Chromium-браузер, который уже настроен для работы с пакетом. blog.skillfactory.ru
2. Запустить сканирование. blog.skillfactory.ru Для этого нужно открыть панель управления Dashboard и выбрать New scan. blog.skillfactory.ru В поле URLs to scan ввести адрес тестового сайта и нажать ОК — начнётся сканирование. blog.skillfactory.ru Разработчики Burp Suite предупреждают, что не следует сканировать сторонние сайты, если владельцы не давали на это разрешения, — процесс может вызвать нарушения в нормальной работе веб-приложения. blog.skillfactory.ru

После завершения создания карты сайта сканер начнёт поиск уязвимостей. blog.skillfactory.ru Список проблем доступен в окне Issue activity панели управления Dashboard. blog.skillfactory.ru При выборе проблемы в нижнем окне появятся три вкладки, содержащие детальное описание и возможный способ устранения уязвимости. blog.skillfactory.ru

Burp Suite — один из самых популярных инструментов для аудита безопасности веб-приложений. blog.skillfactory.ru Навыки работы с пакетом необходимы пентестерам и «белым» хакерам — специалистам, которые проводят аудит безопасности веб-приложений для обнаружения уязвимостей и багов. blog.skillfactory.ru