Burp או Burp Suite (אנגלית: Burp Suite, תעתיק עברי: ברפ סוויט) הוא כלי גרפי לבדיקות אבטחה של יישומי אינטרנט. הכלי נכתב בשפת Java ופותח על ידי חברת PortSwigger Security.

לכלי 2 גרסאות: גרסה חלקית הניתנת להורדה בחינם (Free Edition) וגרסה מלאה אותה ניתן לרכוש לאחר תקופת ניסיון (Professional Edition).

הכלי פותח על מנת לספק מענה ראוי לכלי מקיף שנועד לבדיקות אבטחה של יישומי אינטרנט.

מלבד אפשרויות בסיסיות כגון: שרת פרוקסי (HTTP Proxy), סורק (Scanner) ופולש (intruder).

הכלי מכיל אפשרויות מתקדמות יותר כגון: עכביש (Spider), מהדר (repeater), מפענח (decoder), משווה (Comparer), מרחיב (extender) ורצף תשדירי (sequencer).

בנוסף, פיתחה החברה גם אפליקציית סלולר המכילה כלים דומים וזמינה להורדה למכשירים סלולריים עם גרסת תוכנה iOS 8 ומעלה בלבד.

אפשרויות הכליעריכה

  • HTTP Proxy - בדיקה ושינוי בקשות העוברות מהלקוח אל השרת ולהפך.

Proxy הוא באמת המהות של Burp Suite. באמצעות מינוף פונקציונליות ה- proxy, הכלי Burp Suite מסוגל לראות את כל התעבורה העוברת דרכה. בפרקים הקודמים, כבר ראינו כיצד Burp Suite עובד כאדם שבאמצע, ועוזרת לנו ליירט בקשות.

  • Scanner - סריקת פגיעויות ביישומי אינטרנט (אפשרות זו קיימת בגרסה המלאה בלבד).

לסריקת הפגיעויות שנמצא ב-Burp Suite ניתן להוסיף הרחבה בשם HackBar שבעזרתו גם ניתן לנצל את החולשות ללא שימוש בכל נוסף.

  • Intruder - תקיפות של יישומי אינטרנט (Brute Force).

במקרה שיש יישום עם דף התחברות שבו המשתמש צריך להזין אישורים כדי להמשיך הלאה. מנקודת מבט של בדיקת חדירות, כדאי לבדוק את דף הכניסה הזה עבור אישורי ברירת מחדל, סיסמאות חלשות או מנגנוני נעילה. זה המקום שבו Intruder יכול להיות שימושי. בהינתן רשימה של שמות משתמש וסיסמאות, Intruder יכול לנסות את כל השילובים הללו כדי לראות אם אחד מהם תואם.

אנו יכולים גם לשקול תרחיש אחר שבו יש לנו בקשה מעניינת שברצוננו לחקור עוד כדי לבדוק אם היא פגיעה ל-SQL Injection או XSS. ניתן יכולים פשוט להפנות את Intruder לכתובת ה-URL ולפרמטר שאנו רוצים לבדוק ולהאכיל אותו עם רשימה של מטענים של הזרקת SQL או סקריפטים חוצי אתרים. לאחר מכן הוא ינסה להכניס את כל המטענים שסיפקנו לפרמטר שאנו רוצים לבדוק ולהשיג לנו את התגובות. לאחר שהדבר נעשה, עלינו לבדוק את התגובות כדי לראות אם חלק מהמטען הביא למעשה לניצול של הפגיעות.

  • Spider - סריקה אוטומטית של יישומי אינטרנט.

ראה זחלן רשת.

  • Repeater - הקלטה ושחזור של תעבורת HTTP.
  • Decoder - קידוד, גיבוב ופיענוח נתונים.
  • Comparer - השוואה בין קלטים וקובצי נתונים.
  • Extender - הרחבת האפשרויות הקיימות בכלי.
  • Sequencer - איכות הרנדומליות של מחרוזות וקלטים שונים.

חלופות ל- Burp Suiteעריכה

כבר דנו בכך שהשוק של כלי סריקת אבטחת יישומים גדל במידה רבה. בעוד ש-Burp Suite ממלא את רוב צורכי הבדיקה הידנית והאוטומטית, היא מתחרה בכמה כלים אחרים כמו אלה המוצגים בטבלה הבאה.

מסחרי חינמי/Open Source
Acunetix OWASP ZAP
Netsparker W3af
IBM AppScan Arachni
WebInspect Iron Wasp

ראו גםעריכה

קישורים חיצונייםעריכה