O que é Burp Suite?

Burp Suite é um conjunto de ferramentas do PortSwigger projetado para auxiliar no teste de penetração de aplicativos da web em HTTP e HTTPS. A principal ferramenta é um proxy projetado para permitir a análise e edição do tráfego da web. O proxy pode interceptar solicitações e respostas da web e lê-los e editá-los em tempo real antes que cheguem a seus respectivos destinos. As versões estão disponíveis para Windows, MacOS e Linux, junto com um arquivo JAR.

O próprio proxy permite que você configure quais domínios têm seu tráfego da web interceptado e que tipo de tráfego é mostrado. Por exemplo, interceptar solicitações da web é útil porque você pode editá-las para testar como o site reage a solicitações incomuns, no entanto, interceptar as respostas, pois não há nenhum ponto real em editá-las.

Muitas das ferramentas incluídas no Burp Suite são projetadas para integração com o proxy principal e podem ter solicitações importadas para eles. O Intruder permite que você importe uma solicitação e, em seguida, configure um conjunto de cargas úteis para tentar e pode executá-las automaticamente. O repetidor permite que você importe uma solicitação da web e, em seguida, faça modificações manuais nela e veja a resposta lado a lado, permitindo que você faça pequenos ajustes nas tentativas de exploração e veja facilmente se está funcionando. Um recurso do painel mostra uma lista de problemas identificados, embora seja necessário verificar manualmente se há falsos positivos.

Dica: O rastreador de problemas é um recurso premium, enquanto os ataques automatizados têm taxa limitada na versão gratuita.

O Sequencer é projetado para analisar a aleatoriedade dos dados, como IDs de sessão, tokens CSRF e tokens de redefinição de senha. A análise requer mais de 100 amostras, mas pode identificar pontos fracos em como os valores supostamente aleatórios estão sendo gerados. O decodificador permite que você decodifique strings de uma variedade de padrões de codificação, bem como permite que você codifique os dados novamente. Comparer permite que você compare duas strings para verificar se há pequenas diferenças.

Uma ampla gama de extensões criadas pela comunidade está disponível gratuitamente no aplicativo, embora alguns exijam recursos limitados à versão paga do Burp Suite. A versão gratuita do Burp Suite suporta a maioria dos recursos, uma licença profissional para desbloquear todos os recursos custa US $ 399 por ano, enquanto uma “edição empresarial” custa US $ 3999 por ano, mais US $ 399 por agente de digitalização, que só pode ser adicionado em lotes de 10.