Burp Suite
O que é Burp Suite?
Burp SuiteProxy interceptador e conjunto de ferramentas de testes web da PortSwigger, usado para descobrir, manipular e explorar vulnerabilidades em aplicacoes HTTP e HTTPS.
O Burp Suite e a plataforma de referencia para testes de seguranca de aplicacoes web, criada por Dafydd Stuttard e desenvolvida pela PortSwigger. Combina proxy interceptador, Repeater, Intruder, Decoder, scanner e uma API de extensoes (BApp), usados por engenheiros de AppSec, cacadores de bug bounty e pentesters. O Burp e oferecido em uma edicao Community gratuita e em versoes comerciais Professional e Enterprise; a Professional inclui o scanner ativo de vulnerabilidades presente em muitos fluxos de AppSec. O uso so e licito contra sistemas para os quais haja autorizacao escrita explicita, como um escopo definido em pentest ou em um programa de bug bounty.
● Exemplos
- 01
Manipular um JWT na aba Repeater para confirmar um bypass de autorizacao.
- 02
Executar o Intruder com uma lista de payloads para testar injecao SQL em um parametro de busca.
● Perguntas frequentes
O que é Burp Suite?
Proxy interceptador e conjunto de ferramentas de testes web da PortSwigger, usado para descobrir, manipular e explorar vulnerabilidades em aplicacoes HTTP e HTTPS. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Burp Suite?
Proxy interceptador e conjunto de ferramentas de testes web da PortSwigger, usado para descobrir, manipular e explorar vulnerabilidades em aplicacoes HTTP e HTTPS.
Como funciona Burp Suite?
O Burp Suite e a plataforma de referencia para testes de seguranca de aplicacoes web, criada por Dafydd Stuttard e desenvolvida pela PortSwigger. Combina proxy interceptador, Repeater, Intruder, Decoder, scanner e uma API de extensoes (BApp), usados por engenheiros de AppSec, cacadores de bug bounty e pentesters. O Burp e oferecido em uma edicao Community gratuita e em versoes comerciais Professional e Enterprise; a Professional inclui o scanner ativo de vulnerabilidades presente em muitos fluxos de AppSec. O uso so e licito contra sistemas para os quais haja autorizacao escrita explicita, como um escopo definido em pentest ou em um programa de bug bounty.
Como se defender contra Burp Suite?
As defesas contra Burp Suite costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Burp Suite?
Nomes alternativos comuns: Burp, BurpSuite.
● Termos relacionados
- defense-ops№ 813
Teste de intrusão
Ciberataque simulado e autorizado contra sistemas, aplicações ou pessoas para identificar fraquezas exploráveis antes dos adversários reais.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
- compliance№ 781
OWASP Top 10
Documento de sensibilização da OWASP que enumera os riscos de segurança mais críticos para aplicações web, atualizado periodicamente com base em dados reais de vulnerabilidades.
- attacks№ 1084
Injeção SQL
Ataque de injeção de código que insere SQL controlado pelo atacante numa consulta à base de dados, permitindo ler, alterar ou destruir dados.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidade web que permite a um atacante injetar scripts maliciosos em páginas visitadas por outros utilizadores, executados no browser da vítima sob a origem do site.
- roles№ 132
Caçador de bug bounty
Investigador de segurança independente que descobre e reporta vulnerabilidades a fabricantes através de programas de bug bounty ou divulgação coordenada, em troca de recompensas financeiras e reconhecimento.
● Veja também
- № 577Kali Linux
- № 686mitmproxy