Люкс «Отрыжка»

Люкс «Отрыжка»
	Логотип PortSwigger, компании-разработчика Burp Suite
Разработчик(и)	ПортСвиггер
Написано в	Ява
Тип	Тестирование безопасности
Веб-сайт	Портсвиггер .сеть /отрыжка

Burp Suite — это собственный программный инструмент для оценки безопасности и тестирования веб-приложений на проникновение. ^[1]^[2] Это программное обеспечение было первоначально разработано в 2003–2006 годах Дафидом Статтардом. ^[3] автоматизировать свои собственные потребности в тестировании безопасности после осознания возможностей автоматизированных веб-инструментов, таких как Selenium . ^[4] Стуттард создал компанию PortSwigger, чтобы возглавить разработку Burp Suite. Доступны общественная, профессиональная и корпоративная версии этого продукта.

В число примечательных возможностей этого пакета входят функции прокси-сканирования веб-страниц (Burp Proxy), ^[5] регистрировать HTTP-запросы/ответы (Burp Logger и HTTP History), захватывать/перехватывать HTTP-запросы в движении (Burp Intercept), ^[6] и сводные отчеты, указывающие на слабые места (Burp Scanner). ^[7] Это программное обеспечение использует встроенную базу данных, содержащую известные небезопасные синтаксические шаблоны и ключевые слова для поиска в захваченных HTTP-запросах/ответах. ^[8]

Burp Suite обладает несколькими функциями проникновения. Некоторые встроенные службы PoC включают в себя тесты на понижение версии HTTP, ^[9] взаимодействие с внешними песочницами, размещенными на инструментальных серверах (Burp Collaborator), ^[10] и анализ силы псевдорандомизации (Burp Sequencer). ^[11] Этот инструмент позволяет интегрировать определяемые пользователем функции посредством загрузки плагинов с открытым исходным кодом (таких как сканер десериализации Java). ^[12] и авторизовать ^[13]).

Функции

В качестве анализатора веб-безопасности Burp Suite предлагает несколько встроенных функций, предназначенных для помощи тестировщикам в аудите своих веб-приложений.

Общественная версия

Версия Burp Suite Community Edition включает в себя следующие функции. ^[14]

Burp Proxy и Interceptor: Как и другие сканеры безопасности веб-приложений , одной из основных функций Burp Suite является его способность выступать в качестве прокси-сервера для HTTP-запросов на стороне клиента. ^[15] Тестеры на проникновение могут перехватывать переменные HTTP-запросов веб-серверов по умолчанию (атрибуты, параметры тела, файлы cookie, заголовки) в режиме реального времени и оперативно редактировать эти значения. ^[16]
Карта сайта Burp: BurpSuite работает аналогично программному обеспечению OWASP ZAP , в котором карты сайтов целевых URL-адресов ^[17] могут быть получены посредством автоматического или ручного сканирования веб-страниц. ^[18] Когда пользователи просматривают веб-приложение, HTTP-запросы отправляются на веб-прокси в программном обеспечении Burp Suite. После захвата HTTP-запросов/ответов эти конечные точки можно исследовать вручную или автоматически проверять с помощью функций профессиональной версии Burp Suite.
Burp Logger и история HTTP: сохраняет список HTTP-запросов/ответов, зафиксированных во время веб-сканирования (и автоматического сканирования для версии Professional). ^[19]^[20]
Burp Repeater: повторяет захваченные HTTP-запросы, позволяя вносить пользовательские изменения в переменные запроса. ^[21]
Burp Decoder: автоматизирует декодирование текста. ^[22]
Burp Sequencer: анализирует переменную токена, сгенерированную приложением, в повторяющихся HTTP-запросах, чтобы определить силу предсказуемости псевдослучайности.
Burp Comparer: позволяет пользователям сравнивать контент, найденный в двух разных HTTP-запросах или HTTP-ответах. ^[23]
Расширитель Burp: см. раздел «Расширитель Burp» ниже; некоторые плагины Burp Suite ограничены взаимодействием только с профессиональной версией. ^[24]

Профессиональная версия

Профессиональная версия Burp Suite включает в себя все функции сообщества, а также перечисленные ниже.

Burp Scanner: автоматизирует аудит отчетов и/или сканирование веб-страниц для перехваченных HTTP-запросов/ответов. Использует внутренние правила для аудита содержимого перехваченных HTTP-ответов с целью поиска уязвимых значений ответов. Позволяет пользователям настраивать скорость сканеров и охват результатов.
Панель мониторинга Burp: отображает результаты исследований и классифицирует проблемы в зависимости от серьезности. ^[25] Подробные описания и действия по исправлению могут быть предоставлены в зависимости от типа обнаружения. ^[26]
Burp Intrumer: аналогично Burp Repeater в более широком смысле, предоставляет пользователям возможность отправлять несколько параллельных HTTP-запросов с изменениями указанных переменных запроса. ^[27]
Burp Collaborator: имитирует хостинг сервера C2 для попыток взаимодействия с внешними службами и внеполосных атак. ^[28]
Burp Organizer: позволяет пользователям объединять выбранные HTTP-запросы/ответы в сохраненную коллекцию. ^[29]
Burp Infiltrator: агент IAST, созданный для автоматизации интерактивного сканирования/сканирования во время выполнения и передачи результатов через функцию Burp Collaborator. ^[30]
Burp Clickbandit: инструмент для проверки концепции и тестирования атак кликджекинга на файлы HTML и JavaScript интерфейса веб-приложений. ^[31]
Сохранение файлов: Профессиональная версия позволяет пользователям сохранять свои проекты в виде файлов «.burp». ^[32]

Расширитель отрыжки

BApps Burp Suite предлагает магазин расширений ^[33] где пользователи могут загружать и скачивать плагины для функций, которые не поддерживаются изначально. Различные плагины меняют функциональность, начиная от корректировок читабельности пользовательского интерфейса, дополнений к правилам сканера и реализации новых функций, основанных на анализе.

API расширений Burp Suite имеет открытый исходный код. ^[34]^[35] Поддержка плагинов Java поддерживается изначально, а расширения, использующие Python и Ruby, требуют от пользователей загрузки файлов JAR для Jython и JRuby соответственно. ^[36]

Многие плагины Burp также были созданы сотрудниками Portswigger как средство разработки концепции для исследований, проводимых компанией. ^[37] Примеры таких расширений, созданные Джеймсом Кеттлом, директором по исследованиям Portswigger, ^[38] включая сканер с обратной косой чертой, ^[39]^[40] Парам Майнер, ^[41]^[42] и Контрабандист HTTP-запросов. ^[43]^[44]

BЧеки

BChecks были добавлены в Burp Suite в июне 2023 года. ^[45] как средство, позволяющее пользователям создавать и настраивать свои собственные правила сканирования. ^[46] Кураторская коллекция BChecks поддерживается Portswigger через проект GitHub с открытым исходным кодом . ^[47]

Бамбдас

Пользователи могут писать сценарии Java для создания собственной фильтрации индекса HTTP-запросов/ответов в списках HTTP History, WebSocket History и Logger прокси-сервера Burp Suite. ^[48]^[49]

См. также

Ссылки

^ Рахалкар, Сагар Аджай (2021). Полное руководство по Burp Suite: научитесь обнаруживать уязвимости приложений . Апресс. ISBN 978-1-4842-6401-0 .
^ Лосано, Карлос А.; Шах, Дхрув; Валикар, Рияз Ахмед (28 февраля 2019 г.). Практическое тестирование приложений на проникновение с помощью Burp Suite . Пакт Паблишинг. ISBN 9781788995283 .
^ ПортСвиггер. "О" . ПортСвиггер . Проверено 9 июля 2024 г.
^ ПортСвиггер. «Спрашивайте меня о чем угодно вместе с создателем Burp Suite Дэфидом Статтардом» . Ютуб . Проверено 9 июля 2020 г.
^ Роуз, Адам. «Прокси-трафик виртуальной машины через Burp Suite» . Служба безопасности ФортиНорт . Проверено 9 июля 2024 г.
^ Сеттер, Мэтью. «Введение в Burp Suite» . Веб-разработчик с Мэттом . Проверено 6 декабря 2017 г.
^ Щедрый, Зандт. «Введение в автоматическое сканирование Burp Suite» . Великое Сердце . Проверено 12 июля 2022 г.
^ Шелтон-Лефли, Том. «Картография веб-приложений: описание сканера Burp Suite» . ПортСвиггер . Проверено 05 марта 2021 г.
^ ПортСвиггер. «Нормализация HTTP/2 в редакторе сообщений» . ПортСвиггер . Проверено 9 июля 2024 г.
^ Статтард, Дэфид. «Представляем Burp Collaborator» . ПортСвиггер . Проверено 16 апреля 2015 г.
^ Статтард, Дэфид. «Знакомство с секвенсором Burp» . ПортСвиггер . Проверено 21 октября 2007 г.
^ «Сканер десериализации Java» . Гитхаб . Проверено 9 июля 2024 г.
^ «Авториз» . Гитхаб . Проверено 9 июля 2024 г.
^ " "Burp Suite: Домашняя страница" " . www.portswigger.net . Проверено 24 февраля 2016 г.
^ ПортСвиггер. «Прокси» . ПортСвиггер . Проверено 9 июля 2024 г.
^ Сеттер, Мэтью. «Как перехватывать запросы и изменять ответы с помощью Burp Suite» . Ютуб . Проверено 9 февраля 2018 г.
^ «Burp Suite 101: изучение прокси-сервера Burp и целевой спецификации» . Хаклидо . Проверено 15 октября 2023 г.
^ ПортСвиггер. «Полное сканирование и аудит» . ПортСвиггер . Проверено 9 июля 2024 г.
^ Аггарвал, Сахиль. «Секреты BurpSuite Logger для пентестеров» . Блог CertCube . Проверено 11 января 2023 г.
^ Прадип. «Фильтрация истории HTTP Burp Suite» . Учиться сегодня вечером . Проверено 2 июня 2023 г.
^ ПопробуйтеHackMe. «Репитер отрыжки» . ПопробуйтеHackMe . Проверено 9 июля 2024 г.
^ Чандел, Радж. «Учебное пособие по декодированию кодировщика BurpSuite» . Статьи о хакерстве . Проверено 24 января 2018 г.
^ Саламе, Валид. «Как использовать декодер Burp» . КалиТут . Проверено 9 апреля 2024 г.
^ ПортСвиггер. «Установка расширений» . ПортСвиггер . Проверено 9 июля 2024 г.
^ ПортСвиггер. «Панель приборов» . ПортСвиггер . Проверено 9 июля 2024 г.
^ ПортСвиггер. «Список уязвимостей» . ПортСвиггер . Проверено 9 июля 2024 г.
^ ОгненныйКомпас. «Освоение режимов атаки злоумышленников Burp» . Блог FireCompass . Проверено 31 октября 2023 г.
^ ПортСвиггер. «ОАСТ» . ПортСвиггер . Проверено 9 июля 2024 г.
^ ПортСвиггер. «Организатор» . ПортСвиггер . Проверено 9 июля 2024 г.
^ Статтард, Дэфид. «Представляем Burp Infiltrator» . ПортСвиггер . Проверено 26 июля 2016 г.
^ Крыша, Зак. «Изучите кликджекинг с помощью Burp Suite» . Обучаемый . Проверено 9 июля 2024 г.
^ ПортСвиггер. «Управление файлами проекта» . ПортСвиггер . Проверено 9 июля 2024 г.
^ ПортСвиггер. «БАПП СТОР» . ПортСвиггер . Проверено 9 июля 2024 г.
^ ПортСвиггер. «Создание расширений» . ПортСвиггер . Проверено 9 июля 2024 г.
^ «API расширений Burp Montoya» . Гитхаб . Проверено 9 июля 2024 г.
^ «Расширения TryHackMe Burp Suite» . Середина . Проверено 21 марта 2024 г.
^ ПортСвиггер. "Исследовать" . ПортСвиггер . Проверено 9 июля 2024 г.
^ ПортСвиггер. «Знакомьтесь, Свиггеры: Джеймс К.» . ПортСвиггер . Проверено 9 июля 2024 г.
^ «Сканер с обратной косой чертой» . Гитхаб . Проверено 9 июля 2024 г.
^ Чайник, Джеймс. «Сканирование с использованием обратной косой черты: поиск неизвестных классов уязвимостей» . Исследование ПортСвиггера . Проверено 4 ноября 2016 г.
^ «Парам Майнер» . Гитхаб . Проверено 9 июля 2024 г.
^ Чайник, Джеймс. «Практическое отравление веб-кеша» . Исследование ПортСвиггера . Проверено 9 сентября 2018 г.
^ «Контрабандист HTTP-запросов» . Гитхаб . Проверено 9 июля 2024 г.
^ Чайник, Джеймс. «Атаки на рассинхронизацию HTTP: возрождение контрабанды запросов» . Исследование ПортСвиггера . Проверено 7 сентября 2019 г.
^ ПортСвиггер. «Профессиональное сообщество 2023.6» . ПортСвиггер . Проверено 9 июля 2024 г.
^ «Используйте BCheck для улучшения сканирования уязвимостей» . Да, WeHack . Проверено 1 сентября 2023 г.
^ «БЧеки» . Гитхаб . Проверено 9 июля 2024 г.
^ Стокс, Эмма. «Знакомство с Бамбдами» . ПортСвиггер . Проверено 14 ноября 2023 г.
^ «Бамбдас» . Гитхаб . Проверено 9 июля 2024 г.

Внешние ссылки

Официальный сайт

Эта о программном обеспечении статья незавершена . Вы можете помочь Википедии, расширив ее .

[1] Рахалкар, Сагар Аджай (2021). Полное руководство по Burp Suite: научитесь обнаруживать уязвимости приложений . Апресс. ISBN 978-1-4842-6401-0 .

[2] Лосано, Карлос А.; Шах, Дхрув; Валикар, Рияз Ахмед (28 февраля 2019 г.). Практическое тестирование приложений на проникновение с помощью Burp Suite . Пакт Паблишинг. ISBN 9781788995283 .

[3] ПортСвиггер. "О" . ПортСвиггер . Проверено 9 июля 2024 г.

[4] ПортСвиггер. «Спрашивайте меня о чем угодно вместе с создателем Burp Suite Дэфидом Статтардом» . Ютуб . Проверено 9 июля 2020 г.

[5] Роуз, Адам. «Прокси-трафик виртуальной машины через Burp Suite» . Служба безопасности ФортиНорт . Проверено 9 июля 2024 г.

[6] Сеттер, Мэтью. «Введение в Burp Suite» . Веб-разработчик с Мэттом . Проверено 6 декабря 2017 г.

[7] Щедрый, Зандт. «Введение в автоматическое сканирование Burp Suite» . Великое Сердце . Проверено 12 июля 2022 г.

[8] Шелтон-Лефли, Том. «Картография веб-приложений: описание сканера Burp Suite» . ПортСвиггер . Проверено 05 марта 2021 г.

[9] ПортСвиггер. «Нормализация HTTP/2 в редакторе сообщений» . ПортСвиггер . Проверено 9 июля 2024 г.

[10] Статтард, Дэфид. «Представляем Burp Collaborator» . ПортСвиггер . Проверено 16 апреля 2015 г.

[11] Статтард, Дэфид. «Знакомство с секвенсором Burp» . ПортСвиггер . Проверено 21 октября 2007 г.

[12] «Сканер десериализации Java» . Гитхаб . Проверено 9 июля 2024 г.

[13] «Авториз» . Гитхаб . Проверено 9 июля 2024 г.

[14] " "Burp Suite: Домашняя страница" " . www.portswigger.net . Проверено 24 февраля 2016 г.

[15] ПортСвиггер. «Прокси» . ПортСвиггер . Проверено 9 июля 2024 г.

[16] Сеттер, Мэтью. «Как перехватывать запросы и изменять ответы с помощью Burp Suite» . Ютуб . Проверено 9 февраля 2018 г.

[17] «Burp Suite 101: изучение прокси-сервера Burp и целевой спецификации» . Хаклидо . Проверено 15 октября 2023 г.

[18] ПортСвиггер. «Полное сканирование и аудит» . ПортСвиггер . Проверено 9 июля 2024 г.

[19] Аггарвал, Сахиль. «Секреты BurpSuite Logger для пентестеров» . Блог CertCube . Проверено 11 января 2023 г.

[20] Прадип. «Фильтрация истории HTTP Burp Suite» . Учиться сегодня вечером . Проверено 2 июня 2023 г.

[21] ПопробуйтеHackMe. «Репитер отрыжки» . ПопробуйтеHackMe . Проверено 9 июля 2024 г.

[22] Чандел, Радж. «Учебное пособие по декодированию кодировщика BurpSuite» . Статьи о хакерстве . Проверено 24 января 2018 г.

[23] Саламе, Валид. «Как использовать декодер Burp» . КалиТут . Проверено 9 апреля 2024 г.

[24] ПортСвиггер. «Установка расширений» . ПортСвиггер . Проверено 9 июля 2024 г.

[25] ПортСвиггер. «Панель приборов» . ПортСвиггер . Проверено 9 июля 2024 г.

[26] ПортСвиггер. «Список уязвимостей» . ПортСвиггер . Проверено 9 июля 2024 г.

[27] ОгненныйКомпас. «Освоение режимов атаки злоумышленников Burp» . Блог FireCompass . Проверено 31 октября 2023 г.

[28] ПортСвиггер. «ОАСТ» . ПортСвиггер . Проверено 9 июля 2024 г.

[29] ПортСвиггер. «Организатор» . ПортСвиггер . Проверено 9 июля 2024 г.

[30] Статтард, Дэфид. «Представляем Burp Infiltrator» . ПортСвиггер . Проверено 26 июля 2016 г.

[31] Крыша, Зак. «Изучите кликджекинг с помощью Burp Suite» . Обучаемый . Проверено 9 июля 2024 г.

[32] ПортСвиггер. «Управление файлами проекта» . ПортСвиггер . Проверено 9 июля 2024 г.

[33] ПортСвиггер. «БАПП СТОР» . ПортСвиггер . Проверено 9 июля 2024 г.

[34] ПортСвиггер. «Создание расширений» . ПортСвиггер . Проверено 9 июля 2024 г.

[35] «API расширений Burp Montoya» . Гитхаб . Проверено 9 июля 2024 г.

[36] «Расширения TryHackMe Burp Suite» . Середина . Проверено 21 марта 2024 г.

[37] ПортСвиггер. "Исследовать" . ПортСвиггер . Проверено 9 июля 2024 г.

[38] ПортСвиггер. «Знакомьтесь, Свиггеры: Джеймс К.» . ПортСвиггер . Проверено 9 июля 2024 г.

[39] «Сканер с обратной косой чертой» . Гитхаб . Проверено 9 июля 2024 г.

[40] Чайник, Джеймс. «Сканирование с использованием обратной косой черты: поиск неизвестных классов уязвимостей» . Исследование ПортСвиггера . Проверено 4 ноября 2016 г.

[41] «Парам Майнер» . Гитхаб . Проверено 9 июля 2024 г.

[42] Чайник, Джеймс. «Практическое отравление веб-кеша» . Исследование ПортСвиггера . Проверено 9 сентября 2018 г.

[43] «Контрабандист HTTP-запросов» . Гитхаб . Проверено 9 июля 2024 г.

[44] Чайник, Джеймс. «Атаки на рассинхронизацию HTTP: возрождение контрабанды запросов» . Исследование ПортСвиггера . Проверено 7 сентября 2019 г.

[45] ПортСвиггер. «Профессиональное сообщество 2023.6» . ПортСвиггер . Проверено 9 июля 2024 г.

[46] «Используйте BCheck для улучшения сканирования уязвимостей» . Да, WeHack . Проверено 1 сентября 2023 г.

[47] «БЧеки» . Гитхаб . Проверено 9 июля 2024 г.

[48] Стокс, Эмма. «Знакомство с Бамбдами» . ПортСвиггер . Проверено 14 ноября 2023 г.

[49] «Бамбдас» . Гитхаб . Проверено 9 июля 2024 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]