Burp Suite là một công cụ pentest ứng dụng web. Đây không phải là một công cụ “ăn sẵn” như Acunetix, mà nó chỉ hỗ trợ một số việc cho tester trong quá trình pentest. Với một chút cố gắng, bất kỳ ai cũng có thể sử dụng Burp Suite để kiểm thử các ứng dụng web. Các tính năng nâng cao của Burp sẽ giúp tester nâng cao kỹ năng và trình độ của mình hơn nữa. Ngoài ra, giao diện của Burp cũng rất trực quan và thân thiện.
Burp Suite có rất nhiều tính năng thú vị:
- Interception Proxy: được thiết kế để bắt các request gửi lên server.
- Repeater: cho phép sửa đổi nội dung request một cách nhanh chóng.
- Intruder: tự động hóa việc gửi các payloads lên server.
- Decoder: decode và encode string theo các format khác nhau (URL, Base64, HTML,…).
- Comparer: chỉ ra sự khác nhau giữa các requests/responses
- Extender: API để mở rộng chức năng của Burp Suite. Bạn có thể download các extensions thông qua Bapp Store.
- Spider & Discover Content: crawl link có trong ứng dụng web.
- Scanner (chỉ có trong bản Pro): tự động quét các lỗ hổng trong ứng dụng web (XSS, SQLi, Command Injection, File Inclusion,…).
Một số tính năng cho bản pro như.
+ Search : cho phép tìm theo từ khóa được định trước trong những phần của request hoặc response.
+ Find Comments : tìm tất cả chú thích trong khu vực được chọn.
+ Find scripts : tìm tất cả các javascript trong khu vực được chọn.
+ Find references : tìm các references trong khu vực được chọn.
+ Analyze target : liệt kê các link trong khu vực được chọn bao gồm : static link, dynamic link, parameters……
+ Discover content : tìm các file tồn tại trong khu vực được chọn.
+ Schedule task : tạo schedule cho scan, spider, save state….
Đây là một công cụ rất tốt dành cho các bạn bắt đầu nghiên cứu pentest.
Nhằm hỗ trợ cho các bạn nghiên cứu mình sẽ chia sẻ thông tin tải về cho các bạn qua kênh telegram https://t.me/cyber4y
