Burp Suite — это интегрированная платформа для тестирования безопасности веб-приложений как в ручном, так и в автоматических режимах. 1 Работает на всех популярных операционных системах. 1

Выпускается в трёх различных по функциональности редакциях: 1

• Burp Suite Enterprise Edition — корпоративная версия. 1
• Burp Suite Professional — версия для профессиональных тестировщиков. 1
• Burp Suite Community Edition — бесплатная версия для начинающих специалистов по кибербезопасности. 1

Некоторые инструменты Burp Suite и их назначение:

• Scanner — используется для автоматического сканирования веб-сайтов на наличие контента и уязвимостей в системе безопасности. 4
• Intruder — позволяет выполнять индивидуальные автоматические атаки и все виды тестовых задач. 4
• Repeater — используется для ручного изменения и повторного выполнения отдельных HTTP-запросов. 4
• Spider — паук для сбора информации на сайтах. 3
• Decoder — позволяет преобразовывать биты прикладных данных, используя общие схемы кодирования и декодирования. 4
• Comparer — используется для визуального сравнения битов данных приложения и поиска интересных различий. 4

Чтобы воспользоваться Burp Suite, нужно:

1. Настроить прокси. 13 Для работы с пакетом можно использовать как привычный, так и встроенный браузер: все запросы к сайтам проходят через прокси Burp Suite. 1 При необходимости запросы и ответы можно не только перехватывать, но и редактировать. 1 Чтобы включить перехват данных, нужно открыть вкладку Proxy и в разделе Intercept нажать кнопку Intercept is off. 1 Затем нужно нажать кнопку Open Browser — запустится встроенный Chromium-браузер, который уже настроен для работы с пакетом. 1
2. Запустить сканирование. 1 Для этого нужно открыть панель управления Dashboard и выбрать New scan. 1 В поле URLs to scan ввести адрес тестового сайта и нажать ОК — начнётся сканирование. 1 Разработчики Burp Suite предупреждают, что не следует сканировать сторонние сайты, если владельцы не давали на это разрешения, — процесс может вызвать нарушения в нормальной работе веб-приложения. 1

После завершения создания карты сайта сканер начнёт поиск уязвимостей. 1 Список проблем доступен в окне Issue activity панели управления Dashboard. 1 При выборе проблемы в нижнем окне появятся три вкладки, содержащие детальное описание и возможный способ устранения уязвимости. 1

Burp Suite — один из самых популярных инструментов для аудита безопасности веб-приложений. 1 Навыки работы с пакетом необходимы пентестерам и «белым» хакерам — специалистам, которые проводят аудит безопасности веб-приложений для обнаружения уязвимостей и багов. 1