Профессиональная версия Burp Suite
скоординированный этап тестирования безопасности веб-приложений. Его различные устройства безупречно работают вместе, чтобы помочь всей процедуре тестирования, от вводного сопоставления и изучения поверхности атаки приложения до обнаружения и использования уязвимостей безопасности.

Burp даёт вам полный контроль, давая вам возможность объединить продвинутые ручные методы с лучшей в своём классе механизацией, чтобы сделать вашу работу быстрее, эффективнее и увлекательнее.



В этом выпуске мы значительно улучшили удобство использования Burp Suite, устранив необходимость выполнять многие из начальных шагов настройки Burp Proxy.

Используйте предварительно настроенный браузер Burp для тестирования
Теперь вы можете использовать встроенный браузер Burp Chromium для ручного тестирования. Этот браузер предварительно настроен для работы с полной функциональностью Burp Suite прямо из коробки. Вам больше не нужно вручную настраивать параметры прокси-сервера в браузере или устанавливать сертификат CA Burp. При первом запуске Burp вы можете сразу же начать тестирование, даже с URL-адресами HTTPS.

Чтобы запустить встроенный браузер, перейдите на вкладку «Прокси»> «Перехват» и нажмите «Открыть браузер».

Обратите внимание: если вы хотите использовать внешний браузер для тестирования. вы по-прежнему можете настроить любой браузер для работы с Burp так же, как и раньше.

Прочие улучшения

• Burp теперь предоставляет обратную связь в запросе и ответе, когда он успешно взаимодействует с использованием HTTP / 2. Первый запрос, который вы отправите на сервер, будет отображать HTTP / 1. Однако, как только Burp установит, что веб-сайт поддерживает HTTP / 2, все последующие сообщения будут указывать это в строке запроса и строке состояния соответственно. Дополнительные сведения об экспериментальной поддержке HTTP / 2 Burp см. В документации.
• Повышена производительность экспериментальной функции сканирования через браузер.
• Встроенный браузер обновлён до Chromium 84.

Исправление ошибок

• На Cookie вкладке «Параметры» теперь корректно отображаются несколько заголовков.
• Мы также исправили ошибку безопасности, о которой сообщалось через нашу программу вознаграждения за ошибки. При значительном взаимодействии с пользователем злоумышленник потенциально может украсть файлы с разделителями-запятыми из локальной файловой системы. Злоумышленник должен побудить пользователя посетить вредоносный веб-сайт, скопировать запрос как команду curl, а затем выполнить его через командную строку.

Burp Suite содержит следующие ключевые сегменты:
Перехватывающий прокси, который позволяет вам исследовать и изменять трафик между вашей программой и целевым приложением.

Паук, ориентированный на приложения, за скользкую сущность и полезность.

Продвинутый сканер веб-приложений для компьютеризации распознавания различных видов беспомощности.

Инструмент злоумышленника для выполнения невероятных повторных атак с целью обнаружения и злоупотребления причудливыми уязвимостями.

Инструмент Repeater для управления и повторной отправки индивидуальных запросов.

Инструмент Sequencer для проверки случайных токенов сеанса.

Возможность сохранить вашу работу и возобновить работу позже.

Расширяемость, позволяющая легко составлять свои собственные модули для выполнения сложных и исключительно изменённых задач внутри Burp.

Отрыжка - это совсем не сложно и естественно, она позволяет новым клиентам немедленно начать работу. Burp дополнительно настраивается и содержит различные невероятные моменты, которые помогут самым опытным анализаторам в их работе.

Компьютеризированная ползучесть и вывод

Включено более 100 неисключительных уязвимостей, например вливание SQL и межсайтовый скриптинг (XSS), с невероятным выполнением всех уязвимостей из топ-10 OWASP.

Прочитать больше

Различные режимы для скорости сканирования, позволяющие выполнять быстрые, обычные и исчерпывающие результаты для различных целей.

Профессиональная версия Burp Suite

Подметайте именно то, что хотите. Вы можете воспроизвести полное сканирование и вывод целого, или определённой части контента сайта, или отдельного URL-адреса.

Поддержка различных видов атак добавляет точки в пределах требований, включая параметры, обработку, заголовки HTTP, имена параметров и способ URL-адреса документа.

Поддержка вложенных точек добавления, позволяющих программировать тестирование пользовательских информационных дизайнов приложений, например, JSON внутри Base64 внутри параметра с кодировкой URL.

Усовершенствованный поисковый робот Burp, ориентированный на приложения, может использоваться для определения содержания приложения, предшествующего компьютеризированной фильтрации или ручному тестированию.

Используйте детальную конфигурацию на основе области, чтобы точно контролировать, какие хосты и URL-адреса должны быть включены в скользящую или развёртку.

Запрограммированное распознавание пользовательских ненайденных ответов, чтобы уменьшить количество ложных срабатываний во время скольжения.



Продвинутая фильтрация для ручных анализаторов
Просматривайте в режиме реального времени обратную связь обо всех действиях, выполняемых во время фильтрации. Строка динамического вывода демонстрирует продвижение всего, что выстроено для фильтрации. Журнал действий по проблеме демонстрирует последовательную запись всех проблем по мере их включения или обновления.

Используйте активный режим сканирования для интеллектуального тестирования уязвимостей, таких как проникновение в ОС, и запись обхода пути.

Используйте режим пассивного сканирования, чтобы различать дефекты, например, обнаружение данных, ненадёжное использование SSL и меж пространственное представление.

Вы можете вручную добавлять точки включения в субъективные области внутри запросов, чтобы информировать Сканер о нестандартных источниках информации и информационных группах.

Сканер Burp Suite Professional Edition может автоматически перемещать параметры между различными областями, например параметры URL и лечить, чтобы избежать брандмауэров веб-приложений и различных сопротивлений.

Вы можете полностью контролировать то, что проверяется, используя фильтрацию в реальном времени при просмотре. Каждый раз, когда вы делаете новое ходатайство, не выходящее за рамки охарактеризованной вами объективной степени, Burp, следовательно, планирует ходатайство для динамической экспертизы.

Burp может опционально сообщать обо всех отражённых и отложенных входах, даже если не было подтверждено отсутствие бессилия, чтобы стимулировать ручное тестирование для таких проблем, как межсайтовый скриптинг.

Различные режимы для точности сканирования, чтобы в качестве альтернативы поддерживать все больше ложных срабатываний или отрицаний.



Обоснование передовой проверки
Burp Scanner разработан ведущими в отрасли входными анализаторами. Его основанная на критике логика фильтрации предназначена для воссоздания деятельности талантливого человека-анализатора.

Продвинутая способность к ползанию (с учётом включения самых последних веб-достижений, например, REST, JSON, AJAX и SOAP) в сочетании с его передовой проверкой двигателя, позволяют Burp достичь большего уровня включения проверки и обнаружения беззащитности, чем другие полностью роботизированные веб-сканеры.

Burp Suite Professional Edition возглавил использование исключительно инновационных внеполосных технологий для расширения обычной модели фильтрации. Нововведение Burp Collaborator позволяет Burp распознавать уязвимости на стороне сервера, которые невозможно обнаружить во внешнем поведении приложения, и даже сообщать об уязвимостях, которые активируются не одновременно после завершения проверки.

Нововведение Burp Infiltrator можно использовать для выполнения интерактивного тестирования безопасности приложений (IAST) путём инструментария объективных приложений, чтобы постоянно критиковать Burp Scanner, когда его полезные данные поступают в рискованные API-интерфейсы внутри приложения.

Сканер Burp Suite Professional Edition включает в себя механизм полного статического анализа кода для выявления уязвимостей безопасности внутри клиентского JavaScript, например межсайтовых сценариев на основе DOM.

Обоснование фильтрации Burp постоянно обновляется, чтобы гарантировать, что он может обнаруживать самые последние уязвимости и новые граничные экземпляры существующих уязвимостей. В последнее время Burp был основным сканером для распознавания новых уязвимостей, возглавляемых исследовательской группой Burp, включая вливание макетов и способ импорта относительных шаблонов.

Чёткое и подробное описание уязвимостей

Карта целевого объекта показывает большую часть вещества, которое было обнаружено в исследуемых пунктах назначения. Сущность отображается в виде дерева, которое сравнивается со структурой URL-адресов . Выбор ветвей или узлов внутри дерева демонстрирует размещение отдельных вещей со всеми тонкостями, включая запросы и реакции, где это возможно.

Карта сайта также указывает на обнаруженные уязвимости. Символы в дереве объектов позволяют сразу выделить и исследовать беспомощные зоны объекта.

Уязвимости оцениваются по степени серьёзности и уверенности, чтобы помочь лидерам быстро сосредоточиться на наиболее важных проблемах.



Каждая детальная беспомощность содержит подробные настраиваемые предупреждения. Они включают в себя полное описание проблемы и поэтапные призывы к исправлению ситуации. Формулировки предупреждений постепенно разрабатываются для каждой отдельной проблемы с точным отображением любых уникальных моментов или исправлений.

Каждая детальная беззащитность включает в себя полные данные о доказательствах, на которых она основана. Это включает запросы и реакции HTTP с указанием важных моментов, а также любое внешнее сотрудничество с Burp Collaborator. Обнаруженное доказательство даёт инженерам возможность быстро понять идею каждого бессилия и область внутри приложения, где следует применить исправление.

Вы можете отправлять прекрасно отформатированные HTML-отчёты о найденных уязвимостях. Уровень и вид тонкостей, включённых в отчёт, можно настроить для различных групп.

Блокировать программный трафик с помощью посредника типа "человек посередине"



Burp Suite Professional Edition Proxy позволяет ручным анализаторам перехватывать все запросы и ответы между программой и целевым приложением, независимо от того, когда используется HTTPS.

Вы можете просматривать, изменять или отбрасывать отдельные сообщения для управления серверными или клиентскими сегментами приложения.

История прокси фиксирует все тонкости при прочих равных и реакции, проходящие через прокси.

Вы можете комментировать отдельные вещи с комментариями и окрашенными функциями, что даст вам возможность проверить интересные вещи для последующего выполнения вручную.

Burp Proxy может выполнять различные автоматические изменения ответов, чтобы стимулировать тестирование. Например, вы можете отображать скрытые поля структуры, расширять возможности повреждённых полей структуры и отказываться от утверждения структуры JavaScript.

Вы можете использовать правила сопоставления и замены, чтобы впоследствии применять пользовательские изменения к запросам и реакциям, проходящим через прокси. Вы можете принимать решения, которые работают с заголовками и телом сообщения, параметрами запроса или способом URL-адреса документа.

Burp Suite Professional Edition помогает устранить предупреждения системы безопасности программ, которые могут возникнуть при захвате ассоциаций HTTPS. При создании Burp создаёт единственную в своём роде аутентификацию CA, которую вы можете ввести в свою программу. Затем для каждой области, которую вы посещаете, составляются завещания хозяев, отмеченные предполагаемой декларацией CA.

Burp поддерживает не обнаружимое прокси для клиентов, не являющихся посредниками, и даёт возможность тестировать нестандартных клиентских операторов, например, толстые клиентские приложения и некоторые портативные приложения.

Сообщения HTML5 WebSockets перехватываются и регистрируются в другой истории, как и стандартные сообщения HTTP.

Вы можете настроить детализированные правила попытки захвата, которые правильно контролируют, какие сообщения блокируются, давая вам возможность сосредоточиться на наиболее интригующих коммуникациях.

Компьютеризируйте индивидуальные атаки с помощью Burp Intruder
Burp Intruder - это продвинутый инструмент для автоматизации пользовательских атак на приложения. Его обычно используют для различных целей, чтобы повысить скорость и точность ручного тестирования.

Обычные варианты использования - это поиск уязвимостей, подсчёт законных идентификаторов, удаление интересной информации и эффективное злоупотребление обнаруженными уязвимостями.

Вы можете размещать полезные данные в само утверждающих позициях с требованиями, позволяя размещать полезные данные в пользовательских информационных структурах и соглашениях.

Многочисленные параллельные полезные нагрузки различного типа могут быть установлены в различных ситуациях в рамках одного и того же запроса и могут быть объединены различными способами.

Существует множество встроенных генераторов полезной нагрузки, которые, следовательно, могут создавать полезные нагрузки практически по любой причине исключительно настраиваемым образом. Генераторы полезной нагрузки включают в себя числа, даты, жестокий форсер, битовый флиппер, генератор имени пользователя, квадратный тасование ECB, незаконный Unicode и изменение регистра. Расширения Burp также могут дать полностью настраиваемые генераторы полезной нагрузки.

Примечания
Используйте Java SE Development Kit 14.0 или выше

Скачать:https://cloud.mail.ru/public/JQh7/teEsWDtw6