Что можно взять от бесплатной Burp Suite и где ждут ограничения
Пробовал недавно Burp Suite Community Edition — стандартный набор для простых проверок веб-приложений, но с нюансами. Вот что реально есть и что подводит:
1. Proxy и intercept. Работает без проблем, можно ловить и смотреть запросы/ответы.
2. Инспектор HTTP и повторные запросы. Удобно для отладки и ручного тестирования.
3. Простое сканирование стартовое. Есть встроенный сканер, но он сильно урезан, не ждите детального анализа.
4. Нет автоматического поиска уязвимостей уровня Pro — приходится ручками выискивать XSS, CSRF, SQLi.
5. Инструменты вроде Intruder сильно ограничены: всего несколько потоков, что неудобно для нагрузочного тестирования.
6. Отсутствуют расширенные функции типа Repeater с расширениями, Collaborator, расширенного сканера.
7. Зато можно интегрировать с другими внешними тулзами, но без Pro поддержки это не сильно удобно.
Короче, для небольшой ручной работы пойдет, особенно если не нужна автоматизация, а больше базовый контроль трафика. Но если надо прокачать сканирование и автоматический перебор — придется смотреть на платную версию или альтернативы.
У кого какие мысли? Может, кто-то подкинет похожие бесплатные варианты, которые лучше справляются?