#инструменты #burp_suite
Burp Suite
Почему-то мы ещё не говорили про Burp Suite, а стоило бы.
В основном Burp Suite используется для security/penetration testing, но в то же время это proxy с разнообразными доп.функциями.
Дисклеймер: используйте Burp Suite только на тех доменах, на которых это разрешено. В остальных случаях это может быть незаконно.
Помимо платных версий, есть Community Edition, в которой имеется весь основной функционал.
Основные фичи Burp Suite:
* proxy (позволяет перехватывать, просматривать и изменять запросы/ответы)
* repeater (позволяет повторно отправлять запросы с разными наборами данных)
* intruder (позволяет автоматизировать кастомизированные атаки веб-приложений)
Полный список фич здесь. Среди них также:
* DOM Invader - This is a tool for finding DOM XSS vulnerabilities.
* Clickbandit - This is a tool for generating Clickjacking attacks.
* Mobile Assistant - This is a tool to facilitate testing of mobile apps with Burp Suite.
* Comparer - This is a handy utility for performing a visual "diff" between any two items of data, such as pairs of similar HTTP messages.
Несмотря на то, что звучит сложновато, если вы разобрались с Charles или аналогами, то с Burp Suite сложностей тоже не возникнет.
Чтобы быстро и качественно освоить Burp Suite, вот тут (это QA Crew #6) можно добыть запись Воркшопа "Чем полезен Burp Suite для тестировщика"/Анна Васильева (Ati.su).
Также вот статьи по теме:
* Burp Suite: Webpage Enumeration and Vulnerability Testing
* Тестирование на проникновение с помощью Burp Suite
Однако можно обойтись и официальной документацией - она подробная и актуальная.
Не менее крутое: есть абсолютно бесплатная Web Security Academy от создателей Burp Suite. По результатам можно получить сертификат.
Burp Suite
Почему-то мы ещё не говорили про Burp Suite, а стоило бы.
В основном Burp Suite используется для security/penetration testing, но в то же время это proxy с разнообразными доп.функциями.
Дисклеймер: используйте Burp Suite только на тех доменах, на которых это разрешено. В остальных случаях это может быть незаконно.
Помимо платных версий, есть Community Edition, в которой имеется весь основной функционал.
Основные фичи Burp Suite:
* proxy (позволяет перехватывать, просматривать и изменять запросы/ответы)
* repeater (позволяет повторно отправлять запросы с разными наборами данных)
* intruder (позволяет автоматизировать кастомизированные атаки веб-приложений)
Полный список фич здесь. Среди них также:
* DOM Invader - This is a tool for finding DOM XSS vulnerabilities.
* Clickbandit - This is a tool for generating Clickjacking attacks.
* Mobile Assistant - This is a tool to facilitate testing of mobile apps with Burp Suite.
* Comparer - This is a handy utility for performing a visual "diff" between any two items of data, such as pairs of similar HTTP messages.
Несмотря на то, что звучит сложновато, если вы разобрались с Charles или аналогами, то с Burp Suite сложностей тоже не возникнет.
Чтобы быстро и качественно освоить Burp Suite, вот тут (это QA Crew #6) можно добыть запись Воркшопа "Чем полезен Burp Suite для тестировщика"/Анна Васильева (Ati.su).
Также вот статьи по теме:
* Burp Suite: Webpage Enumeration and Vulnerability Testing
* Тестирование на проникновение с помощью Burp Suite
Однако можно обойтись и официальной документацией - она подробная и актуальная.
Не менее крутое: есть абсолютно бесплатная Web Security Academy от создателей Burp Suite. По результатам можно получить сертификат.