Was ist die Burp-Suite?

Burp Suite ist eine Suite von Tools von PortSwigger, die entwickelt wurde, um Penetrationstests von Webanwendungen sowohl über HTTP als auch über HTTPS zu unterstützen. Das primäre Tool ist ein Proxy, der die Analyse und Bearbeitung des Webverkehrs ermöglicht. Der Proxy kann Web-Anfragen und -Antworten abfangen und in Echtzeit lesen und bearbeiten, bevor sie ihr jeweiliges Ziel erreichen. Versionen sind für Windows, MacOS und Linux zusammen mit einer JAR-Datei verfügbar.

Mit dem Proxy selbst können Sie konfigurieren, welche Domains ihren Webverkehr abfangen und welche Art von Verkehr angezeigt wird. Beispielsweise ist das Abfangen von Webanfragen hilfreich, da Sie sie bearbeiten können, um zu testen, wie die Website auf ungewöhnliche Anfragen reagiert, jedoch die Antworten abzufangen, da es keinen wirklichen Sinn macht, sie zu bearbeiten.

Viele der in Burp Suite enthaltenen Tools sind für die Integration in den Haupt-Proxy konzipiert und können in diese importiert werden. Intruder ermöglicht es Ihnen, eine Anfrage zu importieren und dann die Anordnung der zu versuchenden Nutzlasten zu konfigurieren und diese dann automatisch auszuführen. Repeater ermöglicht es Ihnen, eine Webanfrage zu importieren und dann manuelle Änderungen daran vorzunehmen und die Antwort nebeneinander anzuzeigen, sodass Sie kleinere Anpassungen an versuchten Exploits vornehmen und leicht sehen können, ob es funktioniert. Eine Dashboard-Funktion zeigt eine Liste der identifizierten Probleme an, die jedoch manuell auf falsch positive Ergebnisse überprüft werden müssen.

Tipp: Der Issue Tracker ist ein Premium-Feature, während die automatisierten Angriffe in der kostenlosen Version ratenbegrenzt sind.

Sequencer wurde entwickelt, um die Zufälligkeit von Daten wie Sitzungs-IDs, CSRF-Token und Token zum Zurücksetzen von Passwörtern zu analysieren. Die Analyse erfordert mehr als 100 Stichproben, kann aber Schwachstellen bei der Generierung vermeintlich zufälliger Werte aufdecken. Mit Decoder können Sie Zeichenfolgen aus einer Reihe von Codierungsstandards decodieren und Daten erneut codieren. Mit Comparer können Sie zwei Strings vergleichen, um auf geringfügige Unterschiede zu prüfen.

Eine breite Palette von von der Community geschriebenen Erweiterungen ist kostenlos in der App verfügbar, obwohl einige Funktionen erfordern, die auf die kostenpflichtige Version der Burp Suite beschränkt sind. Die kostenlose Version der Burp Suite unterstützt die meisten Funktionen, eine professionelle Lizenz zum Freischalten aller Funktionen kostet 399 US-Dollar pro Jahr, während eine „Enterprise Edition“ 3999 US-Dollar pro Jahr kostet, plus 399 US-Dollar pro Scan-Agent, die nur in Stapeln von 10 hinzugefügt werden kann.