¿Qué es Burp Suite?  -Páginas técnicas

¿Qué es Burp Suite? -Páginas técnicas

Burp Suite es un conjunto de herramientas de PortSwigger diseñado para facilitar las pruebas de penetración de aplicaciones web a través de HTTP y HTTPS. La herramienta principal es un proxy diseñado para permitir el análisis y edición del tráfico web. El proxy puede interceptar solicitudes y respuestas web, luego leerlas y modificarlas en tiempo real antes de que lleguen a sus respectivos destinos. Hay versiones disponibles para Windows, MacOS y Linux, así como un archivo JAR.

El propio proxy le permite configurar qué dominios cuyo tráfico web se intercepta y qué tipo de tráfico se muestra. Por ejemplo, interceptar solicitudes web es útil porque puede modificarlas para probar cómo responde el sitio web a solicitudes inusuales, pero interceptar respuestas porque no tiene sentido modificarlas.

Muchas herramientas incluidas en Burp Suite están diseñadas para integrarse con el proxy principal y pueden importar consultas en él. Intruder le permite importar una consulta, luego configurar la organización de las cargas útiles para intentarlas y luego poder ejecutarlas automáticamente. El repetidor le permite importar una solicitud web, luego realizar cambios manuales en ella y ver la respuesta una al lado de la otra, lo que le permite realizar ajustes menores en los intentos de minería y ver fácilmente si está funcionando. Una función del panel muestra una lista de problemas identificados, aunque estos deben verificarse manualmente para detectar falsos positivos.

Consejo: el seguimiento de problemas es una función premium, mientras que los ataques automatizados están limitados en la versión gratuita.

Sequencer está diseñado para analizar la aleatoriedad de datos, como ID de sesión, tokens CSRF y tokens de restablecimiento de contraseña. El análisis requiere más de 100 muestras, pero puede identificar debilidades en la forma en que se generan valores supuestamente aleatorios. El decodificador le permite decodificar canales de una variedad de estándares de codificación y también le permite volver a codificar datos. Comparar le permite comparar dos cadenas para comprobar si hay diferencias menores.

Una amplia gama de extensiones escritas por la comunidad están disponibles de forma gratuita desde la aplicación, aunque algunas requieren una funcionalidad limitada a la versión paga de Burp Suite. La versión gratuita de Burp Suite admite la mayoría de las funciones, una licencia profesional para desbloquear todas las funciones cuesta $399 por año, mientras que una «edición empresarial» cuesta $3999 por año, más $399 por análisis de agente que solo se puede agregar en lotes de 10.

Experto Geek - Tu Guía en Tendencias Tecnológicas