Burp Suite es el software líder para pruebas de seguridad web

Miles de organizaciones utilizan Burp Suite para encontrar exposiciones de seguridad antes de que sea demasiado tarde. Al utilizar una tecnología de escaneo de vanguardia, puede identificar las últimas vulnerabilidades. Nuestros investigadores a menudo descubren nuevas clases de vulnerabilidad que Burp es el primero en informar. Burp Suite eleva constantemente el nivel de lo que las pruebas de seguridad pueden lograr.

Empresa

BURP SUITE EMPRESARIAL

ESCÁNER DE VULNERABILIDAD WEB

ESCANEO PROGRAMADO Y REPETIDO

ESCALABILIDAD ILIMITADA

INTEGRACIÓN CI

HERRAMIENTAS MANUALES AVANZADAS

HERRAMIENTAS MANUALES ESENCIALES

$4,199.00

Plan aNUAL

Profesional

BURP SUITE PROFESSIONAL

ESCÁNER DE VULNERABILIDAD WEB

ESCANEO PROGRAMADO Y REPETIDO

ESCALABILIDAD ILIMITADA

INTEGRACIÓN CI

HERRAMIENTAS MANUALES AVANZADAS

HERRAMIENTAS MANUALES ESENCIALES

$419.00

Plan Anual

Comunidad

Para investigadores y aficionados.

ESCÁNER DE VULNERABILIDAD WEB

ESCANEO PROGRAMADO Y REPETIDO

ESCALABILIDAD ILIMITADA

INTEGRACIÓN CI

HERRAMIENTAS MANUALES AVANZADAS

HERRAMIENTAS MANUALES ESENCIALES

$0.00

Plan  anual

Escáner de vulnerabilidad web
  • Cobertura de más de 100 vulnerabilidades genéricas , como inyección de SQL y secuencias de comandos entre sitios (XSS), con un gran rendimiento contra todas las vulnerabilidades en el top 10 de OWASP.
  • El rastreador de aplicaciones web de vanguardia de Burp mapea con precisión el contenido y la funcionalidad, gestiona las sesiones automáticamente, los cambios de estado, el contenido volátil y los inicios de sesión de las aplicaciones.
  • Burp Scanner incluye un motor de análisis de JavaScript completo que utiliza una combinación de técnicas estáticas (SAST) y dinámicas (DAST) para la detección de vulnerabilidades de seguridad en JavaScript del lado del cliente, como las secuencias de comandos entre sitios basadas en DOM.
  • Burp ha sido pionero en el uso de técnicas fuera de banda altamente innovadoras(OAST) para aumentar el modelo de escaneo convencional. La tecnología Burp Collaborator permite a Burp detectar vulnerabilidades en el servidor que son completamente invisibles en el comportamiento externo de la aplicación, e incluso reportar vulnerabilidades que se activan de forma asíncrona después de que se haya completado el escaneo.
  • La tecnología Burp Infiltrator se puede utilizar para realizar pruebas de seguridad de aplicaciones interactivas (IAST) mediante la instrumentación de las aplicaciones de destino para proporcionar retroalimentación en tiempo real a Burp Scanner cuando sus cargas útiles alcanzan APIs peligrosas dentro de la aplicación.
  • La lógica de escaneo de Burp se actualiza continuamente con mejoras para garantizar que pueda encontrar las últimas vulnerabilidades y los nuevos casos de vanguardia de las vulnerabilidades existentes. En los últimos años, Burp ha sido el primer escáner que detectó vulnerabilidades novedosas iniciadas por el equipo de investigación de Burp, incluida la inyección de plantillas y el envenenamiento de caché web.
  • Todas las vulnerabilidades informadas contienen avisos personalizados detallados. Estos incluyen una descripción completa del problema y consejos de solución paso a paso. La redacción de asesoría se genera dinámicamente para cada problema individual, con características especiales o puntos de corrección descritos con precisión.
Escaneo programado y repetido
  • Burp Suite Enterprise Edition puede realizar escaneos programados en momentos específicos, o realizar escaneos únicos a solicitud.
  • Puede configurar análisis repetidos para que se ejecuten de forma indefinida o hasta un punto final definido.
  • Puede ver en un solo lugar todo el historial de análisis de un sitio web determinado.
Escalabilidad ilimitada
  • Burp Suite Enterprise Edition tiene una escalabilidad extrema y puede escanear indefinidamente muchos sitios web en paralelo.
  • Puede configurar todos los sitios web de su organización en un solo lugar, organizados para reflejar su estructura organizativa.
  • Todos los resultados del análisis se agregan en un solo lugar, lo que proporciona una visión general de la postura de seguridad de su organización.
  • El grupo de agentes escalables distribuye la carga de trabajo en varias máquinas , lo que permite que su implementación crezca a cualquier tamaño y realice tantos análisis paralelos como lo requiera su organización.
  • Burp Suite Enterprise Edition admite múltiples usuarios con control de acceso basado en roles (RBAC) para restringir el acceso a datos confidenciales. No hay restricciones de licencia en el número de usuarios.
Integración CI
  • Haga avanzar la automatización de la seguridad en su ciclo de vida de desarrolloutilizando la integración de CI de Burp.
  • Puede ejecutar exploraciones por confirmación , en un horario o como parte de sus tuberías de implementación.
  • Inicie automáticamente exploraciones de vulnerabilidades desde su sistema de CI a través de la API REST.
  • La integración de CI se puede configurar para romper las compilaciones de software enfunción de la gravedad de los problemas descubiertos.
  • Hay complementos de CI nativos listos para usar para plataformas populares como Jenkins y TeamCity, y un controlador de CI genérico que se puede instalar fácilmente en cualquier sistema de CI.
Herramientas manuales avanzadas
  • Use los archivos de proyecto Burp para guardar su trabajo de manera incremental en tiempo real, y continúe sin interrupciones donde lo dejó.
  • La función CSRF PoC Generator se puede usar para generar un ataque de falsificación de solicitud entre sitios (CSRF) de prueba de concepto para una solicitud determinada.
  • Utilice la biblioteca de configuración para iniciar rápidamente exploraciones dirigidas con diferentes configuraciones.
  • Vea comentarios en tiempo real de todas las vulnerabilidades descubiertas en el tablero central de Burp.
  • Coloque puntos de inserción manual en ubicaciones arbitrarias dentro de las solicitudes, para informar al Escáner sobre entradas y formatos de datos no estándar.
  • La función Descubrimiento de contenido se puede usar para descubrir contenido oculto y funcionalidades que no están vinculadas al contenido visible con el que puede navegar.
  • Use el escaneo en vivo mientras navega para controlar completamente qué acciones se llevan a cabo para qué solicitudes.
  • La función Target Analyzer se puede usar para analizar una aplicación web de destino y decirle cuántas URL estáticas y dinámicas contiene y cuántos parámetros toma cada URL.
  • Burp puede, opcionalmente, informar todas las entradas reflejadas y almacenadas, incluso cuando no se haya confirmado la vulnerabilidad, para facilitar las pruebas manuales para problemas como las secuencias de comandos entre sitios.
  • Puede exportar informes HTML bellamente formateados de vulnerabilidades descubiertas.
  • Burp Intruder es una herramienta avanzada para automatizar ataques personalizados contra aplicaciones. Puede usarse para numerosos propósitos para mejorar la velocidad y la precisión de las pruebas manuales.
  • El intruso captura los resultados detallados del ataque, con toda la información relevante sobre cada solicitud y respuesta claramente presentada en forma de tabla. Los datos capturados incluyen los valores y las posiciones de la carga útil, el código de estado HTTP, los temporizadores de respuesta, las cookies, el número de redirecciones y los resultados de cualquier configuración de extracción de datos o grep configurada.
Herramientas manuales esenciales
  • Burp Proxy permite a los probadores manuales interceptar todas las solicitudes y respuestas entre el navegador y la aplicación de destino, incluso cuando se está utilizando HTTPS.
  • Todas las solicitudes y respuestas se muestran en un editor de mensajes HTTP rico en características . Esto proporciona numerosas vistas en el mensaje subyacente para ayudar a analizar y modificar su contenido.
  • Puede ver, editar o soltar mensajes individuales para manipular los componentes del lado del servidor o del lado del cliente de la aplicación.
  • Las solicitudes y respuestas individuales se pueden enviar fácilmente entre las herramientas Burp para admitir todo tipo de flujos de trabajo de prueba manual.
  • La herramienta Repeater le permite editar y volver a emitir solicitudes individuales manualmente , con un historial completo de solicitudes y respuestas.
  • La herramienta Sequencer se utiliza para el análisis estadístico de tokens de sesión utilizando pruebas criptográficas estándar para la aleatoriedad.
  • El historial de Proxy registra todos los detalles de todas las solicitudes y respuestas que pasan a través del Proxy.
  • Puede anotar elementos individuales con comentarios y resaltados de colores , lo que le permite marcar elementos interesantes para su posterior seguimiento manual.
  • Burp Proxy puede realizar varias modificaciones automáticas de respuestaspara facilitar las pruebas. Por ejemplo, puede mostrar los campos de formulario ocultos, habilitar los campos de formulario desactivados y eliminar la validación de formularios de JavaScript.
  • La herramienta Decoder le permite convertir datos entre esquemas de codificación comunes y formatos utilizados en la web moderna.
  • La herramienta Clickbandit genera ataques de clickjacking de trabajo contra funciones de aplicaciones vulnerables.
  • La herramienta Comparer realiza una diferencia visual entre pares de solicitudes y respuestas u otros datos interesantes.
  • Puede usar reglas de coincidencia y reemplazo para aplicar automáticamente modificaciones personalizadas a las solicitudes y respuestas que pasan a través del Proxy. Puede crear reglas que funcionen en los encabezados y el cuerpo de los mensajes, los parámetros de solicitud o la ruta del archivo URL.
  • Puede crear reglas de manejo de sesión personalizadas para lidiar con situaciones particulares. Las reglas de manejo de sesiones pueden iniciar sesión automáticamente, detectar y recuperar sesiones no válidas, y obtener tokens CSRF válidos.
  • Burp ayuda a eliminar las advertencias de seguridad del navegador que pueden ocurrir al interceptar conexiones HTTPS. En la instalación, Burp genera un certificado de CA único que puede instalar en su navegador. Los certificados de host se generan para cada dominio que visita, firmado por el certificado de CA de confianza.
  • Burp es compatible con la función de proxy invisible para clientes que no tienen proxy , lo que permite la prueba de agentes de usuario no estándar, como aplicaciones de cliente grueso y algunas aplicaciones móviles.
  • La potente API de Burp Extender permite que las extensiones personalicen el comportamiento de Burp y se integren con otras herramientas. Los casos de uso más comunes para las extensiones Burp incluyen la modificación de solicitudes y respuestas HTTP sobre la marcha, la personalización de la interfaz de usuario Burp, la adición de controles de escáner personalizados y el acceso a información clave en tiempo de ejecución, incluidos los resultados de rastreo y escaneo.
  • Los mensajes de HTML5 WebSockets se interceptan y se registran en un historial separado, de la misma manera que los mensajes HTTP normales.
  • La tienda de BApp es un repositorio de extensiones listas para usar, aportadas por la comunidad de usuarios de Burp. Se pueden instalar con un solo clic desde la interfaz de usuario de Burp.
  • Puede configurar reglas de intercepción de grano fino que controlan con precisión qué mensajes se interceptan, lo que le permite concentrarse en las interacciones más interesantes.
  • El mapa del sitio de destino muestra todo el contenido que se ha descubierto en los sitios que se están probando. El contenido se presenta en una vista de árbol que corresponde a la estructura de URL de los sitios. Al seleccionar ramas o nodos dentro del árbol, se muestra una lista de elementos individuales, con detalles completos, incluidas las solicitudes y respuestas, cuando estén disponibles.
 
caret-down caret-up caret-left caret-right
Kevin Johnson, CEO, Secure Ideas

"Burp es mi herramienta para probar aplicaciones web. ¡Es la mejor de su clase! No puedo esperar a ver qué nos depara el futuro."

Russ McRee, Principal Security PM Lead, Microsoft
"Burp los gobierna a todos. Seguid así. :-)"
Michelle Simpson, Security Consultant, NCC Group
"Gracias por una herramienta tan fantástica y por sus respuestas de apoyo."
EspañolEnglishPortuguêsDeutschNederlandsFrançaisItalianoРусский简体中文العربية