![]() |
Что можно взять от бесплатной Burp Suite и где ждут ограничения
Пробовал недавно Burp Suite Community Edition — стандартный набор для простых проверок веб-приложений, но с нюансами. Вот что реально есть и что подводит:
1. Proxy и intercept. Работает без проблем, можно ловить и смотреть запросы/ответы. 2. Инспектор HTTP и повторные запросы. Удобно для отладки и ручного тестирования. 3. Простое сканирование стартовое. Есть встроенный сканер, но он сильно урезан, не ждите детального анализа. 4. Нет автоматического поиска уязвимостей уровня Pro — приходится ручками выискивать XSS, CSRF, SQLi. 5. Инструменты вроде Intruder сильно ограничены: всего несколько потоков, что неудобно для нагрузочного тестирования. 6. Отсутствуют расширенные функции типа Repeater с расширениями, Collaborator, расширенного сканера. 7. Зато можно интегрировать с другими внешними тулзами, но без Pro поддержки это не сильно удобно. Короче, для небольшой ручной работы пойдет, особенно если не нужна автоматизация, а больше базовый контроль трафика. Но если надо прокачать сканирование и автоматический перебор — придется смотреть на платную версию или альтернативы. У кого какие мысли? Может, кто-то подкинет похожие бесплатные варианты, которые лучше справляются? |
| Время: 11:41 |