Burp Suite — программный комплекс для тестирования безопасности сайтов, веб-приложений. Написан на Java, поэтому портирован на Windows, Linux, MacOS. Поддерживает установку сторонних расширений (через репозиторий BApp Store), выпускается в двух редакциях: Free (бесплатная, без сканера уязвимостей) и Pro (полный функционал, поддержка от разработчика). Базовая редакция программы интегрирована в
Kali Linux.
Возможности Burp Suite
С помощью Burp Suite для Linux можно:
- составлять карту веб-приложений, сайта (с демонстрацией структуры файлов и папок);
- модифицировать запросы «на лету» (через подключение прокси, только для не SSL-сайтов);
- собирать данные о сайтах и веб-приложениях (информация о сертификате, регистраторе, WHOIS);
- сканировать веб-ресурсы на наличие известных уязвимостей (только в версии PRO).
Программа также поддерживает работу с HTTPS, но в этом случае потребуется интегрировать сертификат в браузер.
Перед тем как пользоваться Burp Suite, потребуется настроить прокси (для пропуска через него всех отправляемых на сайт запросов). То есть внести соответствующие настройки в браузер (рекомендуется использовать Chrome или Mozilla). Для офлайн-сайтов — это localhost:8080. На официальном сайте разработчика (PortSwigger) есть детальная инструкция на русском. И Burp Suite требует обязательной установки Java SDK в ОС (его наличие в системе можно проверить командой java -version из терминала).
Ближайшие аналоги программы: Mitmproxy, Zed Attack, Acunetix.
Встроенные инструменты Burp Suite
В базовом пакете Burp Suite включены такие утилиты:
- proxy (инструмент для развертывания прокси-сервера как на ПК, так и удаленном сервере);
- spider (для сбора информации о сайте, веб-приложении);
- repeater (инструмент для редактирования запросов);
- intruder (утилита для подбора ключей, получения несанкционированного доступа над сайтом);
- scanner (только в pro-версии, показывает выявленные уязвимости).
Из BApp Store пользователь сможет установить дополнительные инструменты (платные и бесплатные). С их помощью можно делать углубленный анализ уязвимости к распространенным эксплоитам. Scanner делает то же самое, но в автоматическом режиме и сразу по нескольким сценариям.
Скачать Burp Suite актуальной версии бесплатно можно на нашем сайте.