Итак, Burp Suite – это специализированная платформа для выполнения независимого тестирования безопасности веб-продуктов. В её состав входят разнообразные инструменты для создания карт веб-приложения, нахождения документов в папках, редактирования запросов, подбора валидных паролей и много прочего.

Burp Suite – интегрированная веб-платформа, с помощью которой любая продуктовая компания может выполнить аудит как мануально, так и автоматически. Она отличается интуитивно понятым графическим дизайном со специально созданными табами, которые позволяют улучшить процесс атак.

Этот продукт являет собой особый проксирующий механизм, который может ловить все поступающие от веб-браузера запросы. Также можно установить сертификат burp для выполнения анализа HTTPS-соединений.

Burp Suite

Пользователям доступно на выбор сразу 2 версии данного ПО: Free и Professional. Несмотря на то, что версии существенно отличаются, бесплатная содержит полноценный инструментарий для выполнения профессиональных проверок. Главное их отличие – отсутствие сканера в бесплатной версии и лимит запросов за единицу времени. Дополнительно, бесплатная версия не может похвастаться наличием встроенных пейлоадов для интрудера.

Состав технологической оболочки

Базовый функционал данного ПО выстроен на таких модулях:

• Proxy – специально перехватывающий прокси-сервер, который функционирует на основе протокола HTTP в режиме man-in-the-middle. При нахождении между браузером и приложением, этот прокси-сервер даст возможность перехватывать, анализировать и редактировать трафик, следующий в обе стороны.
• Spider – «паук», который позволяет в автоматическом режиме находить данные о базовой архитектуре веб-продукта.
• Scanner – специальный поиск уязвимостей. Он есть в версии Professional, а в бесплатной версии просто описаны его возможности.
• Intruder – специальная утилита, которая дает возможность проводить разнообразные атаки, например подбор пароля, перебор ID, фаззинг и прочее.
• Repeater – возможность корректировки и повторной отправки конкретных HTTP-запросов и анализа ответов от приложения.
• Sequencer – функция анализа генерации случайных данных веб-приложения, выявления алгоритма генерации и предиктивности информации.
• Decoder – специальная утилита для мануального или автоматического преобразования данных в выбранном веб-приложении.
• Comparer – для нахождения различий в схожих данных.

Burp Suite Mobile Assistant

Данный продукт также обладает и мобильной версией, где можно запросто тестировать разнообразные приложения в iOS среде.

С его помощью можно редактировать общесистемные конфигурации прокси-сервера устройств на базе iOS, дабы трафик HTTP(S) можно было легко перенаправить в Burp для аналитики. Дополнительно он может применять SSL pinning – использование своего сертификата.

Burp Suite Mobile Assistant

К слову, с помощью Burp Suite Mobile Assistant можно находить любые OWASP Mobile уязвимости.

Заключение

Данное ПО заслуженно можно считать наиболее эффективным и востребованным веб-продуктом для выполнения проверки безопасности. Использование Burp Suite – это возможность тестировать программное обеспечение нестандартными способами, которые могут детально раскрыть все явные и скрытые уязвимости разрабатываемого продукта.

Вспомогательная версия для работы с мобильной операционной платформой iOS позволит проводить всевозможные тесты для проверки программ на смартфонах и планшетах.