Burp Suite — это мощный инструмент для тестирования безопасности веб-приложений, и его функциональность можно значительно расширить с помощью плагинов (расширений). Вот топ расширений для Burp Suite, которые полезны для пентестеров и исследователей безопасности:

1. Автоматизация и сканирование

• Turbo Intruder – Ускоренный инструмент для проведения сложных атак перебором (автор PortSwigger).

• Autorize – Автоматическая проверка контроля доступа (обход аутентификации и авторизации).

• Flow – Улучшенный HTTP-прокси с историей запросов и удобным поиском.

2. Обход защиты и анализ уязвимостей

• Bypass WAF – Помогает обходить WAF (Web Application Firewall) с помощью различных техник.

• Wsdler – Анализирует WSDL/SOAP-сервисы и автоматически генерирует запросы.

• SAMLRaider – Тестирование SAML-аутентификации на уязвимости.

3. Расширения для реконсосинга

• Logger++ – Записывает все HTTP-запросы и ответы с возможностью фильтрации.

• Param Miner – Автоматически находит скрытые параметры и заголовки.

• Software Vulnerability Scanner – Ищет известные уязвимости в ПО (например, в CMS).

4. Работа с API и протоколами

• J2EEScan – Сканер уязвимостей в Java EE-приложениях.

• GraphQL Raider – Тестирование GraphQL API на уязвимости.

• WS-Attacker – Анализ веб-сервисов (SOAP, WSDL).

5. Декодирование и криптография

• Burp Crypto – Шифрование/дешифрование данных прямо в Burp.

• JWT Editor – Работа с JWT-токенами (подпись, взлом, подмена).

• GadgetProbe – Поиск Java-десериализационных гаджетов.

6. Удобные инструменты для работы

• Copy As Python-Requests – Копирует запросы в код Python (для скриптов).

• HackBar – Удобный инструмент для ручного тестирования (аналогично HackBar в браузере).

• Collaborator Everywhere – Автоматически внедряет Collaborator-запросы для выявления SSRF, RCE и др.

Спасибо за внимание!