Ключевые функции и особенности:

• Сканер веб уязвимостей
• Расширенные инструменты ручного тестирования
• Основные инструменты

Сканер веб уязвимостей

• Поиск более 100 обычных уязвимостей, таких как внедрение SQL-кода и межсайтовое выполнение сценариев (XSS), при более высокой производительности для всех уязвимостей по OWASP top 10.
• Современный сканер веб-приложений Burp точно отображает контент и функциональность, автоматически обрабатывает сеансы, изменения состояния, изменчивый контент и логины приложений.
• Burp Scanner включает полный механизм анализа JavaScript, используя комбинацию статических (SAST) и динамических (DAST) методов обнаружения уязвимостей на клиентском JavaScript, таких как межсайтовый скриптинг на основе DOM.
• Burp впервые использовал высокоинновационные внеполосные методы (OAST) для увеличения обычной модели сканирования. Технология Burp Collaborator позволяет Burp обнаруживать уязвимости на стороне сервера, которые полностью невидимы во внешнем поведении приложения и даже сообщать об уязвимостях, которые запускаются асинхронно после завершения сканирования.
• Технология Burp Infiltrator может использоваться для выполнения тестирования безопасности интерактивных приложений (IAST) с помощью приложений для таргетирования инструментальных средств, чтобы получать обратную связь в реальном времени с помощью Burp Scanner, когда его полезная нагрузка достигает опасных API в приложении.
• Все обнаруженные уязвимости содержат подробные пользовательские рекомендации. К ним относятся полное описание проблемы и пошаговые рекомендации по исправлению. Консультативная формулировка динамически генерируется для каждой отдельной проблемы с точными описаниями любых специальных функций или точек исправления.

Расширенные инструменты ручного тестирования

• Сохранения в режиме реального времени с помощью проектных файлов Burp.
• Используйте конфигурационную библиотеку для быстрого запуска целевого сканирования с различными настройками.
• Просмотр отзывов обо всех обнаруженных фактах уязвимости в реальном времени на центральной приборной панели Burp.
• Разместите точки ввода вручную в произвольных местах в запросах, чтобы сообщить сканеру о нестандартных входах и форматах данных.
• Используйте интерактивное сканирование при просмотре, чтобы полностью контролировать, какие действия выполняются для каких запросов.
• Burp может сообщать обо всех отраженных и сохраненных входах, даже если не была подтверждена уязвимость, чтобы облегчить ручное тестирование для таких проблем, как межсайтовый скриптинг.
• Вы можете экспортировать красиво отформатированные HTML-отчеты об обнаруженных уязвимостях.
• Генератор CSRF PoC может использоваться для имитации атаки CSRF.
• Функция Content Discovery позволяет обнаруживать скрытые контент и функционал, на которые отсутствуют ссылки в видимом контенте.
• Функция Target Analyzer позволяет анализировать целевые веб приложения и сообщать о количестве статических и динамических URL, которые они содержат, и о том, сколько параметров принимает каждый URL-адрес.
• Burp Intruder - это расширенный инструмент для автоматизации пользовательских атак на приложения. Он может использоваться для повышения скорости и точности ручного тестирования при достижении разных задач.
• Intruder фиксирует подробные результаты атаки со всей соответствующей информацией о каждом запросе и предоставляет результаты в виде списка. Зафиксированные данные включают в себя значения и позиции полезной нагрузки, код состояния HTTP, таймеры ответа, файлы cookie, количество перенаправлений и результаты любых настроенных параметров grep или извлечения данных.

Основные инструменты ручного тестирования

• Burp Proxy позволяет ручным тестерам перехватывать все запросы и ответы между браузером и целевым приложением, даже если HTTPS используется.
• Вы можете просматривать, редактировать или удалять отдельные сообщения, чтобы манипулировать серверными или клиентскими компонентами application.view edit или drop.
  История прокси-сервера записывает сведения обо всех запросах и ответах, проходящих через прокси-сервер.
• Вы можете снабжать отдельные элементы комментариями и цветными метками, чтобы обработать вручную позже.
• Burp Proxy может выполнять различные автоматические изменения ответов для облегчения тестирования. Например, вы можете отображать скрытые поля, включать отключенные поля и удалять проверку формы JavaScript.
• Вы можете применить правила совпадения и замены для автоматического применения пользовательских модификаций для запросов и ответов, проходящих через прокси. Вы можете создавать правила, которые работают с заголовками и телом сообщений, параметрами запроса или файлом url path.match и replace.
• Burp помогает устранить предупреждения безопасности браузера, которые могут возникать при перехвате соединений HTTPS. При установке Burp генерирует уникальный сертификат ЦС, который вы можете установить в своем браузере. Сертификаты хоста затем генерируются для каждого домена, который вы посещаете, подписанным доверенным сертификатом ЦС.
• Burp поддерживает невидимое проксирование для клиентов, не поддерживающих прокси-сервер, что позволяет тестировать нестандартные пользовательские агенты, такие как приложения «толстого» клиента или некоторые мобильные приложения.
• Сообщения HTML5 WebSockets перехватываются и регистрируются в отдельной истории так же, как и обычные HTTP-сообщения. Вы можете настроить множественные правила перехвата, которые контролируют, какие сообщения перехватываются.
• Карта целевого сайта показывает весь контент, который был обнаружен на тестируемых сайтах. Содержимое представлено в виде дерева, которое соответствует URL структуре сайта. Выбор ветвей или узлов в дереве показывает список отдельных элементов, с полной информацией, включая запросы и ответы, где позволяет available.target
• Все запросы и ответы отображаются в многофункциональном редакторе HTTP-сообщений. Индивидуальные запросы и ответы могут быть сделаны между инструментами Burp для поддержки всех видов рабочих процессов ручного тестирования.
• Инструмент Repeater позволяет вручную редактировать и просматривать отдельные запросы с полной историей запросов и ответов.
• Инструмент Sequencer используется для статистического анализа токенов сеанса с использованием стандартных криптографических тестов для случайности.
• Инструмент декодирования позволяет конвертировать данные между общими схемами кодирования и форматами, используемыми в современной сети.
• Средство Clickbandit генерирует рабочие атаки с помощью clickjacking против уязвимых функций приложения.
• Инструмент Comparer выполняет визуальный разброс между парами запросов и ответов или другими интересными данными.
• Вы можете создавать собственные правила обработки сеансов для решения конкретных ситуаций. Правила обработки сеанса могут автоматически регистрироваться, обнаруживать и восстанавливать недействительные сеансы и извлекать правильные правила обработки CORF tokens.custom session
• Мощный API расширения Burp Extender позволяет расширениям настраивать поведение Burp и интегрироваться с другими инструментами. Общие приложения для расширений Burp включают в себя изменение HTTP-запросов и ответов «на лету», настройку пользовательского интерфейса взлома, добавление пользовательских проверок сканера и доступ к ключевой информации о времени выполнения, включая сканирование и сканирование.
• BApp Store - это хранилище готовых к использованию расширений, предоставляемых сообществом пользователей Burp. Они могут быть установлены одним щелчком мыши из хранилища Burp UI.bapp.

Цена указана за 1 пользователя.