Burp Suite
Что такое Burp Suite?
Burp SuiteПерехватывающий веб-прокси и набор инструментов от PortSwigger, используемый для поиска, изменения и эксплуатации уязвимостей в HTTP- и HTTPS-приложениях.
Burp Suite — отраслевой стандарт платформы тестирования безопасности веб-приложений, созданной Dafydd Stuttard и развиваемой компанией PortSwigger. Она объединяет перехватывающий прокси, Repeater, Intruder, Decoder, сканер и API расширений (BApp), которыми пользуются инженеры AppSec, охотники за багами и пентестеры. Burp доступен в бесплатной редакции Community и коммерческих Professional и Enterprise; в Professional входит активный сканер уязвимостей, лежащий в основе многих процессов AppSec. Тестирование законно только в отношении систем, для которых получено явное письменное разрешение, например в рамках согласованного скоупа пентеста или программы bug bounty.
● Примеры
- 01
Изменение JWT во вкладке Repeater для подтверждения обхода авторизации.
- 02
Запуск Intruder со списком полезных нагрузок для проверки SQL-инъекции в параметре поиска.
● Частые вопросы
Что такое Burp Suite?
Перехватывающий веб-прокси и набор инструментов от PortSwigger, используемый для поиска, изменения и эксплуатации уязвимостей в HTTP- и HTTPS-приложениях. Относится к категории Защита и операции в кибербезопасности.
Что означает Burp Suite?
Перехватывающий веб-прокси и набор инструментов от PortSwigger, используемый для поиска, изменения и эксплуатации уязвимостей в HTTP- и HTTPS-приложениях.
Как работает Burp Suite?
Burp Suite — отраслевой стандарт платформы тестирования безопасности веб-приложений, созданной Dafydd Stuttard и развиваемой компанией PortSwigger. Она объединяет перехватывающий прокси, Repeater, Intruder, Decoder, сканер и API расширений (BApp), которыми пользуются инженеры AppSec, охотники за багами и пентестеры. Burp доступен в бесплатной редакции Community и коммерческих Professional и Enterprise; в Professional входит активный сканер уязвимостей, лежащий в основе многих процессов AppSec. Тестирование законно только в отношении систем, для которых получено явное письменное разрешение, например в рамках согласованного скоупа пентеста или программы bug bounty.
Как защититься от Burp Suite?
Защита от Burp Suite обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Burp Suite?
Распространённые альтернативные названия: Burp, BurpSuite.
● Связанные термины
- defense-ops№ 813
Тестирование на проникновение
Санкционированная имитация кибератаки на системы, приложения или людей с целью выявить эксплуатируемые слабости до того, как это сделают реальные злоумышленники.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
- compliance№ 781
OWASP Top 10
Информационный документ OWASP, перечисляющий наиболее критические риски безопасности веб-приложений и обновляемый по реальным данным о уязвимостях.
- attacks№ 1084
SQL-инъекция
Атака внедрения кода, которая встраивает управляемый злоумышленником SQL в запрос к базе данных, позволяя читать, изменять или уничтожать данные.
- attacks№ 240
Межсайтовый скриптинг (XSS)
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
- roles№ 132
Bug bounty-исследователь
Независимый исследователь безопасности, который находит и сообщает уязвимости вендорам через программы bug bounty или скоординированного раскрытия в обмен на денежное вознаграждение и репутацию.
● См. также
- № 577Kali Linux
- № 686mitmproxy