https://youtu.be/Tpqt-eKFpLM
Burp Suite – це платформа для аудиту безпеки веб-додатків. Містить інструменти для складання картки веб-програми, пошуку файлів і папок, модифікації запитів, фазінгу, підбору паролів та багато іншого.
<aside>
⏳ Burp Suite – це інтегрована платформа, призначена для проведення аудиту веб-додатку, як у ручному, так і в автоматичних режимах. Містить інтуїтивно-зрозумілий інтерфейс із спеціально спроектованими табами, що дозволяють покращити та прискорити процес атаки. Сам інструмент являє собою проксірующий механізм, що перехоплює і обробляє всі запити, що надходять від браузера. Є можливість встановлення сертифіката burp для аналізу https з'єднань.
</aside>
Що вміє Burp Suite
- Target – створює карту сайту з детальною інформацією про додаток, що тестується. Показує, які цілі перебувають у процесі тестування, і дозволяє керувати процесом виявлення вразливостей.
- Proxy – перехоплюючий проксі-сервер, що працює за протоколом HTTP(S) як man-in-the-middle. Перебуваючи між браузером та веб-додатком він дозволить вам перехоплювати, вивчати та змінювати трафік, що йде в обох напрямках.
- Spider – павук або краулер, що дозволяє вам автоматично збирати інформацію про архітектуру веб-додатку.
- Scanner – автоматичний сканер уразливостей (OWASP TOP 10 і т.д.) Доступний у Professional версії; у безкоштовній версії лише опис можливостей.
- Intruder – утиліта, що дозволяє в автоматичному режимі робити атаки різного виду, такі як підбір пароля, перебір ідентифікаторів, фазинг та інше.
- Repeater – утиліта для модифікування та повторного надсилання, окремих HTTP-запитів та аналізу відповідей програми.
- Sequencer – утиліта для аналізу генерації випадкових даних програми, виявлення алгоритму генерації, передиктивності даних.
- Decoder – утиліта для ручного або автоматичного перетворення даних веб-програми. Comparer — утиліта виявлення відмінностей у даних.
- Extender – розширення в BurpSuite. Можна додавати як готові із BApp store, так і власної розробки.
<aside>
⏳ Ми будемо працювати з обома версіями: Community та Professional.
</aside>
Інструменти, які ми будемо використовувати на воркшопах