Burp Suite Professional

Burp Suite Professional — программа для тестирования стабильности работы и выявления уязвимостей в системе безопасности веб-приложений. Это платное приложение, доступное для ознакомительного использования в течении непродолжительного времени. Программа предназначена для установки на компьютеры под управлением Windows 7 и выше (только 64 бит). Интерфейс не имеет перевода на русский язык.

Зачем нужна программа Burp Suite Professional

Burp Suite Professional — это целый комплекс ручных и полуавтоматических инструментов для специалистов в области веб-безопасности. Одна из главных особенностей программы — возможность автоматизации повторяющихся задач тестирования, что значительно экономит время пользователю, а также позволяет одновременно работать над несколькими проектами. При помощи Burp Suite Professional можно протестировать уязвимости веб-приложений к главным (по рейтингу OWASP Top 10) сетевым угрозам, а также ко взломам с использованием новейших методов сетевых атак.

Функции программы Burp Suite Professional

Burp Suite Professional обладает широким спектром функций.

Функции ручного тестирования на проникновение

• Мощный прокси-сервер позволяет изменять все HTTP(S)-соединения, проходящие через браузер.
• Управление данными «разведки». Все целевые данные агрегируются и сохраняются на карте целевого сайта с функциями фильтрации и аннотации.
• Выявление скрытых поверхностей атаки посредством расширенной функции автоматического обнаружения «невидимого» контента.
• Проверка на кликджекинговые атаки на потенциально уязвимые веб-страницы с помощью специальных инструментов.
• Работа с веб-сокетами. Сообщения WebSockets имеют свою собственную историю, что позволяет пользователю просматривать и изменять их.
• Ручное тестирование на внешние уязвимости с возможностью параллельной активации функции «Burp Suite» для внеполосных (OAST) приложений.
• Высокая скорость проведения детализированных рабочих процессов благодаря возможности изменения и повторной отправки отдельных сообщений HTTP и WebSocket, а также анализа полученного ответа в одном окне.

Инструменты создания расширенных/настраиваемых автоматических атак

• Более быстрый брутфорс и фаззинг. Развертывание пользовательских последовательностей HTTP-запросов, содержащих несколько наборов полезной нагрузки, позволяет радикально сократить время, затрачиваемое на многие задачи.
• Запрос результатов автоматизированной атаки. Сбор автоматически генерируемых результатов в настраиваемые таблицы с возможностью их фильтрации и комментирования для поиска интересных записей и улучшения последующих атак.
• Создание эксплойтов CSRF. Простота генерирования CSRF-атак для проверки концепции с возможностью выбора любого подходящего запроса для создания HTML-кода эксплойта.
• Возможность в режиме ручного тестирования мониторинга отраженных/сохраненных входных данных, даже если ошибка не подтверждена. Облегчает тестирование таких проблем, как XSS.
• Возможность пассивного сканирования каждого запроса или выполнения активного сканирования определенных URL-адресов.
• Возможность автоматически изменять HTTP-сообщения и другие функции.

Функции автоматического сканирования на наличие уязвимостей

• Сканирование с помощью OAST — новаторского, безотказного внеполосного инструмента тестирования безопасности приложений.
• Гибридный AST и встроенный механизм анализа JavaScript помогают находить бреши в поверхностях атак на стороне клиента.
• Точная настройка управления сканированием. Получение детального контроля с помощью пользовательской методологии сканирования, а также возможность запуска сканирования в режиме «point-and-click».
• Тонкая настройка поведения сканирования с возможностью пропуска определенных проверок, точной регулировки точек вставки и многого другого.
• Эффективное применение IAST. Упрощенная идентификация источника и генерация отчетов об уязвимостях с дополнительным инструментарием кода.

Инструменты повышения производительности

• Возможность использования как встроенных, так и пользовательских конфигураций. Доступ к предопределенным конфигурациям для общих задач или сохранение и повторное использование пользовательских конфигураций.
• Автоматическое сохранение всех рабочих проектов на диск и добавление конфигураций в предварительно сохраненные проекты.
• Улучшение читабельности кода при помощи автоматических инструментов, поддерживающий различные форматы, включая JSON, JavaScript, CSS, HTML и XML.
• Легкость исправления результатов сканирования. Возможность просмотра источника, содержимого и исправлений для каждой ошибки с агрегированными данными приложения.

Ускоренное преобразование данных. Возможность декодирования или кодирования данных с помощью нескольких встроенных операций (например, Hex, Octal, Base64).