Burp Suite es un conjunto de herramientas de PortSwigger que admite la prueba de penetración de aplicaciones web a través de HTTP y HTTPS. La herramienta principal es un proxy que se puede utilizar para analizar y manipular el tráfico web. El proxy puede interceptar solicitudes y respuestas web y leerlas y procesarlas en tiempo real antes de que lleguen a sus respectivos destinos. Hay disponibles versiones para Windows, MacOS y Linux, así como un archivo JAR.
Con el propio proxy, puede configurar qué dominios se intercepta el tráfico web y qué tipo de tráfico se muestra. Por ejemplo, interceptar solicitudes web es útil porque puede editarlas para probar cómo responde el sitio web a solicitudes inusuales. Sin embargo, puede interceptar las respuestas ya que no tiene sentido editarlas.
Muchas de las herramientas incluidas en Burp Suite están diseñadas para integrarse con el proxy principal y se pueden importar con solicitudes. Con Intruder puede importar una solicitud y luego configurar la disposición de la carga útil para la prueba y luego ejecutarla automáticamente. Repeater le permite importar una solicitud web y luego modificarla manualmente. La respuesta se muestra una al lado de la otra para que pueda realizar pequeños ajustes a cualquier intento de exploits y ver fácilmente si funcionan. Una función de panel muestra una lista de los problemas identificados que, sin embargo, deben comprobarse manualmente en busca de falsos positivos.
Consejo: el rastreador de problemas es una función premium, mientras que los ataques automatizados en la versión gratuita se limitan a la tasa.
El secuenciador se utiliza para analizar la aleatoriedad de los datos como ID de sesión, tokens CSRF y tokens para restablecer contraseñas. El análisis requiere más de 100 muestras, pero puede identificar debilidades en la generación de valores supuestamente aleatorios. Decoder le permite decodificar cadenas de varios estándares de codificación y volver a codificar datos. Puede usar Comparer para comparar dos cadenas y encontrar pequeñas diferencias.
Una amplia gama de extensiones escritas por la comunidad están disponibles en la aplicación de forma gratuita, aunque algunas requieren una funcionalidad limitada a la versión paga de Burp Suite. La versión gratuita de Burp Suite es compatible con la mayoría de las funciones. Una licencia profesional para desbloquear todas las funciones cuesta 399 USD al año, mientras que una «Enterprise Edition» cuesta 3999 USD al año más 399 USD por agente de escaneo, que solo se puede agregar en lotes de 10.
