Burp Suite
Was ist Burp Suite?
Burp SuiteEin abfangender Webproxy und Testbaukasten von PortSwigger, um Schwachstellen in HTTP- und HTTPS-Anwendungen zu finden, zu manipulieren und auszunutzen.
Burp Suite ist die branchenuebliche Plattform fuer Web-Anwendungssicherheitstests, entwickelt von Dafydd Stuttard und PortSwigger. Sie vereint einen Intercepting-Proxy, Repeater, Intruder, Decoder, Scanner und eine Extension-API (BApp), die von AppSec-Ingenieuren, Bug-Bounty-Jaegern und Pentestern eingesetzt wird. Burp existiert in einer kostenlosen Community-Edition sowie in den kommerziellen Editionen Professional und Enterprise; Professional enthaelt den aktiven Schwachstellenscanner, der vielen AppSec-Workflows zugrunde liegt. Tests sind nur an Systemen rechtmaessig, fuer die eine ausdrueckliche schriftliche Genehmigung vorliegt, etwa im Rahmen eines Pentest-Auftrags oder Bug-Bounty-Programms.
● Beispiele
- 01
Manipulieren eines JWT im Repeater, um einen Autorisierungs-Bypass zu bestaetigen.
- 02
Ausfuehren von Intruder mit einer Payload-Liste, um SQL-Injection in einem Suchparameter zu testen.
● Häufige Fragen
Was ist Burp Suite?
Ein abfangender Webproxy und Testbaukasten von PortSwigger, um Schwachstellen in HTTP- und HTTPS-Anwendungen zu finden, zu manipulieren und auszunutzen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Burp Suite?
Ein abfangender Webproxy und Testbaukasten von PortSwigger, um Schwachstellen in HTTP- und HTTPS-Anwendungen zu finden, zu manipulieren und auszunutzen.
Wie funktioniert Burp Suite?
Burp Suite ist die branchenuebliche Plattform fuer Web-Anwendungssicherheitstests, entwickelt von Dafydd Stuttard und PortSwigger. Sie vereint einen Intercepting-Proxy, Repeater, Intruder, Decoder, Scanner und eine Extension-API (BApp), die von AppSec-Ingenieuren, Bug-Bounty-Jaegern und Pentestern eingesetzt wird. Burp existiert in einer kostenlosen Community-Edition sowie in den kommerziellen Editionen Professional und Enterprise; Professional enthaelt den aktiven Schwachstellenscanner, der vielen AppSec-Workflows zugrunde liegt. Tests sind nur an Systemen rechtmaessig, fuer die eine ausdrueckliche schriftliche Genehmigung vorliegt, etwa im Rahmen eines Pentest-Auftrags oder Bug-Bounty-Programms.
Wie schützt man sich gegen Burp Suite?
Schutzmaßnahmen gegen Burp Suite kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Burp Suite?
Übliche alternative Bezeichnungen: Burp, BurpSuite.
● Verwandte Begriffe
- defense-ops№ 813
Penetrationstest
Autorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
- compliance№ 781
OWASP Top 10
Awareness-Dokument der OWASP, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet und periodisch anhand realer Schwachstellendaten aktualisiert wird.
- attacks№ 1084
SQL Injection
Code-Injection-Angriff, der vom Angreifer kontrolliertes SQL in eine Datenbankabfrage einschleust, um Daten zu lesen, zu verändern oder zu zerstören.
- attacks№ 240
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
- roles№ 132
Bug-Bounty-Jäger
Unabhängiger Sicherheitsforscher, der Schwachstellen über Bug-Bounty- oder Coordinated-Disclosure-Programme an Hersteller meldet — gegen Geldprämien und öffentliche Anerkennung.
● Siehe auch
- № 577Kali Linux
- № 686mitmproxy