Итак, Burp Suite – это специализированная платформа для выполнения независимого тестирования безопасности веб-продуктов. В её состав входят разнообразные инструменты для создания карт веб-приложения, нахождения документов в папках, редактирования запросов, подбора валидных паролей и много прочего.
Burp Suite – интегрированная веб-платформа, с помощью которой любая продуктовая компания может выполнить аудит как мануально, так и автоматически. Она отличается интуитивно понятым графическим дизайном со специально созданными табами, которые позволяют улучшить процесс атак.
Этот продукт являет собой особый проксирующий механизм, который может ловить все поступающие от веб-браузера запросы. Также можно установить сертификат burp для выполнения анализа HTTPS-соединений.
Burp Suite
Пользователям доступно на выбор сразу 2 версии данного ПО: Free и Professional. Несмотря на то, что версии существенно отличаются, бесплатная содержит полноценный инструментарий для выполнения профессиональных проверок. Главное их отличие – отсутствие сканера в бесплатной версии и лимит запросов за единицу времени. Дополнительно, бесплатная версия не может похвастаться наличием встроенных пейлоадов для интрудера.
Состав технологической оболочки
Базовый функционал данного ПО выстроен на таких модулях:
- Proxy – специально перехватывающий прокси-сервер, который функционирует на основе протокола HTTP в режиме man-in-the-middle. При нахождении между браузером и приложением, этот прокси-сервер даст возможность перехватывать, анализировать и редактировать трафик, следующий в обе стороны.
- Spider – «паук», который позволяет в автоматическом режиме находить данные о базовой архитектуре веб-продукта.
- Scanner – специальный поиск уязвимостей. Он есть в версии Professional, а в бесплатной версии просто описаны его возможности.
- Intruder – специальная утилита, которая дает возможность проводить разнообразные атаки, например подбор пароля, перебор ID, фаззинг и прочее.
- Repeater – возможность корректировки и повторной отправки конкретных HTTP-запросов и анализа ответов от приложения.
- Sequencer – функция анализа генерации случайных данных веб-приложения, выявления алгоритма генерации и предиктивности информации.
- Decoder – специальная утилита для мануального или автоматического преобразования данных в выбранном веб-приложении.
- Comparer – для нахождения различий в схожих данных.
Burp Suite Mobile Assistant
Данный продукт также обладает и мобильной версией, где можно запросто тестировать разнообразные приложения в iOS среде.
С его помощью можно редактировать общесистемные конфигурации прокси-сервера устройств на базе iOS, дабы трафик HTTP(S) можно было легко перенаправить в Burp для аналитики. Дополнительно он может применять SSL pinning – использование своего сертификата.
Burp Suite Mobile Assistant
К слову, с помощью Burp Suite Mobile Assistant можно находить любые OWASP Mobile уязвимости.
Заключение
Данное ПО заслуженно можно считать наиболее эффективным и востребованным веб-продуктом для выполнения проверки безопасности. Использование Burp Suite – это возможность тестировать программное обеспечение нестандартными способами, которые могут детально раскрыть все явные и скрытые уязвимости разрабатываемого продукта.
Вспомогательная версия для работы с мобильной операционной платформой iOS позволит проводить всевозможные тесты для проверки программ на смартфонах и планшетах.
Оставить комментарий