Burp Suite to zestaw narzędzi firmy PortSwigger zaprojektowany, aby pomóc w testach penetracyjnych aplikacji internetowych zarówno przez HTTP, jak i HTTPS. Podstawowym narzędziem jest proxy zaprojektowane w celu umożliwienia analizy i edycji ruchu w sieci. Serwer proxy może przechwytywać żądania i odpowiedzi internetowe oraz czytać i edytować je w czasie rzeczywistym, zanim dotrą do odpowiednich miejsc docelowych. Dostępne są wersje dla systemów Windows, MacOS i Linux wraz z plikiem JAR.
Sam serwer proxy pozwala skonfigurować, które domeny mają przechwytywany ruch sieciowy i jaki rodzaj ruchu jest wyświetlany. Na przykład przechwytywanie żądań internetowych jest pomocne, ponieważ można je edytować, aby sprawdzić, jak witryna reaguje na nietypowe żądania, jednak przechwytywanie odpowiedzi, ponieważ nie ma sensu ich edytować.
Wiele narzędzi zawartych w pakiecie Burp Suite jest zaprojektowanych do integracji z głównym serwerem proxy i można do nich importować żądania. Intruder pozwala zaimportować żądanie, a następnie skonfigurować rozmieszczenie ładunków do próby, a następnie może je automatycznie uruchomić. Repeater pozwala zaimportować żądanie sieciowe, a następnie dokonać w nim ręcznych modyfikacji i zobaczyć odpowiedź obok siebie, umożliwiając wprowadzenie drobnych korekt w próbowanych exploitach i łatwe sprawdzenie, czy działa. Funkcja pulpitu nawigacyjnego pokazuje listę zidentyfikowanych problemów, chociaż należy je ręcznie sprawdzić pod kątem fałszywych alarmów.
Wskazówka: śledzenie problemów jest funkcją premium, podczas gdy w wersji darmowej automatyczne ataki są ograniczone.
Sequencer jest przeznaczony do analizy losowości danych, takich jak identyfikatory sesji, tokeny CSRF i tokeny resetowania hasła. Analiza wymaga ponad 100 próbek, ale może zidentyfikować słabości w sposobie generowania rzekomo losowych wartości. Dekoder umożliwia dekodowanie ciągów znaków z różnych standardów kodowania, a także umożliwia ponowne kodowanie danych. Comparer umożliwia porównanie dwóch ciągów w celu sprawdzenia drobnych różnic.
Szeroka gama rozszerzeń napisanych przez społeczność jest dostępna bezpłatnie z poziomu aplikacji, chociaż niektóre wymagają funkcji ograniczonych do płatnej wersji pakietu Burp Suite. Bezpłatna wersja Burp Suite obsługuje większość funkcji, profesjonalna licencja na odblokowanie wszystkich funkcji kosztuje 399 USD rocznie, podczas gdy „edycja dla przedsiębiorstw” kosztuje 3999 USD rocznie, plus 399 USD za agenta skanującego, który można dodać tylko w partiach po 10.