#burp_suite
#burp_tools
Инструменты Burp
Burp Suite содержит различные инструменты для выполнения различных задач по тестирования. Инструменты эффективно работают вместе, и вы можете передавать интересные запросы между инструментами по ходу вашей работы для выполнения различных действий.
Каждый инструмент выполняет различные действия, и чтобы воспользоваться им в полной мере нужно детальное его изучение. Это обзорная заметка, которая содержит только краткую характеристику функционала каждого инструмента Burp:
• Target (цель) – этот инструмент содержит подробную информацию о ваших целевых приложениях и позволяет вам управлять процессом тестирования уязвимостей.
• Proxy (прокси) – это перехватывающий веб-прокси, который работает как человек-посередине между конечным браузером и целевым веб-приложением. Он позволяет вам перехватывать, проверять и модифицировать сырой трафик, проходящий в обоих направлениях.
• Spider (паук) – это интеллектуальный веб-паук с поддержкой приложений, который может сканировать приложение для определения его содержимого и функциональности.
• Scanner [Pro version] (сканер [толь в Pro версии]) – это продвинутый сканер веб-уязвимостей, который может автоматически обнаруживать многочисленные типы уязвимостей.
• Intruder – это мощный инструмент для проведения автоматизированных индивидуальных атак на веб-приложения. Он гибкий в настройке и может использоваться для выполнения широкого круга задач, чтобы сделать ваше тестирование более быстрым и эффективным.
• Repeater (повторитель) – это простой инструмент для ручного манипулирования и повторной отправки отдельных HTTP-запросов и анализа ответов приложения.
• Sequencer (секвенсор) – это сложный инструмент для анализа качества случайности в токенах сеанса приложения или других важных элементах данных, которые предназначены быть непредсказуемыми.
• Decoder (декодер) – это полезный инструмент для ручного или интеллектуального декодирования и кодирования данных приложения.
• Comparer (сравнитель) – это удобная утилита, похожа на команду "diff", но с визуализацией различий между любыми двумя элементами данных, такими как пары похожих HTTP-сообщений.
• Extender (расширитель) – он позволяет загружать расширения Burp, для расширения функциональности Burp, используя ваш собственный или сторонний код.
#burp_tools
Инструменты Burp
Burp Suite содержит различные инструменты для выполнения различных задач по тестирования. Инструменты эффективно работают вместе, и вы можете передавать интересные запросы между инструментами по ходу вашей работы для выполнения различных действий.
Каждый инструмент выполняет различные действия, и чтобы воспользоваться им в полной мере нужно детальное его изучение. Это обзорная заметка, которая содержит только краткую характеристику функционала каждого инструмента Burp:
• Target (цель) – этот инструмент содержит подробную информацию о ваших целевых приложениях и позволяет вам управлять процессом тестирования уязвимостей.
• Proxy (прокси) – это перехватывающий веб-прокси, который работает как человек-посередине между конечным браузером и целевым веб-приложением. Он позволяет вам перехватывать, проверять и модифицировать сырой трафик, проходящий в обоих направлениях.
• Spider (паук) – это интеллектуальный веб-паук с поддержкой приложений, который может сканировать приложение для определения его содержимого и функциональности.
• Scanner [Pro version] (сканер [толь в Pro версии]) – это продвинутый сканер веб-уязвимостей, который может автоматически обнаруживать многочисленные типы уязвимостей.
• Intruder – это мощный инструмент для проведения автоматизированных индивидуальных атак на веб-приложения. Он гибкий в настройке и может использоваться для выполнения широкого круга задач, чтобы сделать ваше тестирование более быстрым и эффективным.
• Repeater (повторитель) – это простой инструмент для ручного манипулирования и повторной отправки отдельных HTTP-запросов и анализа ответов приложения.
• Sequencer (секвенсор) – это сложный инструмент для анализа качества случайности в токенах сеанса приложения или других важных элементах данных, которые предназначены быть непредсказуемыми.
• Decoder (декодер) – это полезный инструмент для ручного или интеллектуального декодирования и кодирования данных приложения.
• Comparer (сравнитель) – это удобная утилита, похожа на команду "diff", но с визуализацией различий между любыми двумя элементами данных, такими как пары похожих HTTP-сообщений.
• Extender (расширитель) – он позволяет загружать расширения Burp, для расширения функциональности Burp, используя ваш собственный или сторонний код.
#kali_linux
#burp_suite
#burp
#60 Kali Linux для продвинутого тестирования на проникновение. Зеркалирование веб-сайта из командной строки. Burp Proxy.
Здравствуйте, дорогие друзья.
Злоумышленникам может потребоваться потратить много времени на выявление уязвимостей на определенных страницах/URL-адресах. Распространенная тактика включает клонирование или загрузку всей доступной информации веб-сайта локально, чтобы сузить правильную точку входа для использования и проведения атак социальной инженерии, для сбора адресов электронной почты и другой соответствующей информации. Также возможно скопировать веб-сайт непосредственно в местоположение тестера. Это позволяет тестировщику просматривать структуру каталогов и их содержимое, извлекать метаданные из локальных файлов и использовать содержимое сайта в качестве входных данных для такой программы, как crunch, которая создаст персонализированный список слов для поддержки взлома паролей.
Источник: https://timcore.ru/2023/03/15/60-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-zerkalirovanie-veb-sajta-iz-komandnoj-stroki-burp-proxy/
#burp_suite
#burp
#60 Kali Linux для продвинутого тестирования на проникновение. Зеркалирование веб-сайта из командной строки. Burp Proxy.
Здравствуйте, дорогие друзья.
Злоумышленникам может потребоваться потратить много времени на выявление уязвимостей на определенных страницах/URL-адресах. Распространенная тактика включает клонирование или загрузку всей доступной информации веб-сайта локально, чтобы сузить правильную точку входа для использования и проведения атак социальной инженерии, для сбора адресов электронной почты и другой соответствующей информации. Также возможно скопировать веб-сайт непосредственно в местоположение тестера. Это позволяет тестировщику просматривать структуру каталогов и их содержимое, извлекать метаданные из локальных файлов и использовать содержимое сайта в качестве входных данных для такой программы, как crunch, которая создаст персонализированный список слов для поддержки взлома паролей.
Источник: https://timcore.ru/2023/03/15/60-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-zerkalirovanie-veb-sajta-iz-komandnoj-stroki-burp-proxy/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#60 Kali Linux для продвинутого тестирования на проникновение. Зеркалирование веб-сайта из командной строки. Burp Proxy. - Этичный…
Злоумышленникам может потребоваться потратить много времени на выявление уязвимостей на определенных страницах/URL-адресах. Распространенная тактика включает клонирование или загрузку всей доступной информации веб-сайта локально, чтобы сузить правильную точку…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#burp_suite
#burp
Знакомство с Burp Suite, часть 2: Intruder, Collaborator
https://www.youtube.com/watch?v=cJAZSZZatCc
#burp
Знакомство с Burp Suite, часть 2: Intruder, Collaborator
https://www.youtube.com/watch?v=cJAZSZZatCc
YouTube
Знакомство с Burp Suite, часть 2: Intruder, Collaborator
Денис рассказал про тулзу для анализа веб-приложений Burp Suite Pro — во второй части про Intruder и Collaborator
#bug_bounty
#burp_suite
DNS Analyzer - Finding DNS vulnerabilities with Burp Suite
https://sec-consult.com/blog/detail/dns-analyzer-finding-dns-vulnerabilities-with-burp-suite/
#burp_suite
DNS Analyzer - Finding DNS vulnerabilities with Burp Suite
https://sec-consult.com/blog/detail/dns-analyzer-finding-dns-vulnerabilities-with-burp-suite/
SEC Consult
DNS Analyzer - Finding DNS vulnerabilities with Burp Suite
A brand-new Burp Suite extension for discovering DNS vulnerabilities in web applications.
#bug_bounty
#burp_suite
ParaForge is a simple Burp Suite extension to extract the paramters and endpoints from the request to create custom wordlist for fuzzing and enumeration.
https://github.com/Anof-cyber/ParaForge
#burp_suite
ParaForge is a simple Burp Suite extension to extract the paramters and endpoints from the request to create custom wordlist for fuzzing and enumeration.
https://github.com/Anof-cyber/ParaForge
GitHub
GitHub - Anof-cyber/ParaForge: A BurpSuite extension to create a custom word-list of endpoint and parameters for enumeration and…
A BurpSuite extension to create a custom word-list of endpoint and parameters for enumeration and fuzzing - Anof-cyber/ParaForge
#bug_bounty
#burp_suite
Find GraphQL API vulnerabilities, with Burp Suite Professional
https://portswigger.net/blog/find-graphql-api-vulnerabilities-with-burp-suite-professional
#burp_suite
Find GraphQL API vulnerabilities, with Burp Suite Professional
https://portswigger.net/blog/find-graphql-api-vulnerabilities-with-burp-suite-professional
PortSwigger Blog
Find GraphQL API vulnerabilities, with Burp Suite Professional
As a penetration tester, you need your tools to find the latest vulnerabilities. GraphQL APIs are widely used on today’s websites, and expose attack surface for a wide range of security issues. Burp S
#bug_bounty
#bug_hunting
#burp_suite
#13 Bug Bounty v.2 — Базовый взлом с Burp Suite. Прокси
Здравствуйте, дорогие друзья.
Если и есть какой-то инструмент, который вам нужен, чтобы стать успешным охотником за ошибками, то это Burp Suite. Вы можете найти множество ошибок, даже не выходя из Burp. Это, безусловно, мой самый популярный и любимый инструмент. Почти все веб-атаки, которые я провожу, находятся в Burp. Если вы не знаете, что такое Burp, это инструмент для проведения тестов безопасности веб-приложений.
Подробнее: https://timcore.ru/2024/07/29/13-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-proksi/
#bug_hunting
#burp_suite
#13 Bug Bounty v.2 — Базовый взлом с Burp Suite. Прокси
Здравствуйте, дорогие друзья.
Если и есть какой-то инструмент, который вам нужен, чтобы стать успешным охотником за ошибками, то это Burp Suite. Вы можете найти множество ошибок, даже не выходя из Burp. Это, безусловно, мой самый популярный и любимый инструмент. Почти все веб-атаки, которые я провожу, находятся в Burp. Если вы не знаете, что такое Burp, это инструмент для проведения тестов безопасности веб-приложений.
Подробнее: https://timcore.ru/2024/07/29/13-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-proksi/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#13 Bug Bounty v.2 - Базовый взлом с Burp Suite. Прокси - Этичный хакинг с Михаилом Тарасовым (Timcore)
Если и есть какой-то инструмент, который вам нужен, чтобы стать успешным охотником за ошибками, то это Burp Suite. Вы можете найти множество ошибок, даже не выходя из Burp, это, безусловно, мой самый популярный и любимый инструмент, почти все веб-атаки, которые…
#bug_bounty
#bug_hunting
#burp_suite
#14 Bug Bounty v.2 - Базовый взлом с Burp Suite. Target. Intruder. Repeater
Здравствуйте, дорогие друзья.
Как правило, я не попадаю в раздел Target burp suite, но думаю, что все равно важно знать, что это такое. Вложенная вкладка “Карта сайта” упорядочивает каждый запрос, просматриваемый прокси-сервером, и создает карту сайта.
Подробнее: https://timcore.ru/2024/07/29/14-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-target-intruder-repeater/
#bug_hunting
#burp_suite
#14 Bug Bounty v.2 - Базовый взлом с Burp Suite. Target. Intruder. Repeater
Здравствуйте, дорогие друзья.
Как правило, я не попадаю в раздел Target burp suite, но думаю, что все равно важно знать, что это такое. Вложенная вкладка “Карта сайта” упорядочивает каждый запрос, просматриваемый прокси-сервером, и создает карту сайта.
Подробнее: https://timcore.ru/2024/07/29/14-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-target-intruder-repeater/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#14 Bug Bounty v.2 - Базовый взлом с Burp Suite. Target. Intruder. Repeater - Этичный хакинг с Михаилом Тарасовым (Timcore)
Как правило, я не попадаю в целевой раздел burp suite, но думаю, что все равно важно знать, что это такое. Вложенная вкладка “Карта сайта” упорядочивает каждый запрос, просматриваемый прокси-сервером, и создает карту сайта.
#burp_suite
#tools
GitHub - siamthanathack/Passkey-Raider: Burp Suite extension for testing Passkey systems.
https://github.com/siamthanathack/Passkey-Raider
#tools
GitHub - siamthanathack/Passkey-Raider: Burp Suite extension for testing Passkey systems.
https://github.com/siamthanathack/Passkey-Raider
GitHub
GitHub - siamthanathack/Passkey-Raider: Burp Suite extension for testing Passkey systems.
Burp Suite extension for testing Passkey systems. Contribute to siamthanathack/Passkey-Raider development by creating an account on GitHub.
#pentest
#burp_suite
Burp Suite, как сверхоружие пентестера: техники и плагины, о которых ты не знал
Сразу к сути, старик. Burp — это не просто прокси, это наш швейцарский нож для резки веба. Я покажу, как выжать максимум из Intruder, Repeater, как обойти WAF с плагинами и настроить туннели, чтобы нас не засекли.
Подробнее: https://timcore.ru/2025/05/26/burp-suite-kak-sverhoruzhie-pentestera-tehniki-i-plaginy-o-kotoryh-ty-ne-znal/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#burp_suite
Burp Suite, как сверхоружие пентестера: техники и плагины, о которых ты не знал
Сразу к сути, старик. Burp — это не просто прокси, это наш швейцарский нож для резки веба. Я покажу, как выжать максимум из Intruder, Repeater, как обойти WAF с плагинами и настроить туннели, чтобы нас не засекли.
Подробнее: https://timcore.ru/2025/05/26/burp-suite-kak-sverhoruzhie-pentestera-tehniki-i-plaginy-o-kotoryh-ty-ne-znal/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Burp Suite, как сверхоружие пентестера: техники и плагины, о которых ты не знал - Этичный хакинг с Михаилом Тарасовым (Timcore)
Сразу к сути, старик. Burp — это не просто прокси, это наш швейцарский нож для резки веба. Я покажу, как выжать максимум из Intruder, Repeater, как обойти WAF с плагинами и настроить туннели, чтобы нас не засекли.
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#burp_suite
#java
Свой Burp Suite плагин: автоматизируем SQLi/XSS тесты с API Burp Extender на Java
Эй, кибер-боец! Сегодня мы замутим нечто крутое — собственный плагин для Burp Suite, который будет автоматически тестировать SQL-инъекции и XSS-уязвимости, а заодно подбирать параметры в реальном времени. Мы разберёмся с API Burp Extender на Java, напишем рабочий код и сделаем так, чтобы наш инструмент рвал рутину на куски. Если ты хочешь поднять свой пентест на новый уровень, то это твой билет в клуб хардкорных автоматизаторов. Погнали!
Подробнее: https://timrobot.ru/svoj-burp-suite-plagin-avtomatiziruem-sqli-xss-testy-s-api-burp-extender-na-java/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#java
Свой Burp Suite плагин: автоматизируем SQLi/XSS тесты с API Burp Extender на Java
Эй, кибер-боец! Сегодня мы замутим нечто крутое — собственный плагин для Burp Suite, который будет автоматически тестировать SQL-инъекции и XSS-уязвимости, а заодно подбирать параметры в реальном времени. Мы разберёмся с API Burp Extender на Java, напишем рабочий код и сделаем так, чтобы наш инструмент рвал рутину на куски. Если ты хочешь поднять свой пентест на новый уровень, то это твой билет в клуб хардкорных автоматизаторов. Погнали!
Подробнее: https://timrobot.ru/svoj-burp-suite-plagin-avtomatiziruem-sqli-xss-testy-s-api-burp-extender-na-java/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
Свой Burp Suite плагин: автоматизируем SQLi/XSS тесты с API Burp Extender на Java - Разработка роботов и эксплойтов
Эй, кибер-боец! Сегодня мы замутим нечто крутое — собственный плагин для Burp Suite, который будет автоматически тестировать SQL-инъекции и XSS-уязвимости, а заодно подбирать параметры в реальном времени. Мы разберёмся с API Burp Extender на Java, напишем…
#burp_suite
#pentest
#bug_bounty
Master Burp Suite Like A Pro In Just 1 Hour
One of the most common problems with modern tutorials for tools is that they tend to sound a lot like man-pages or documentation. For instance, they'll tell you all about the little command flags, all the little buttons you can click on; but something that they seem to miss out on is "WHY you would use each of these options?"
So, for this video, we're going to do things a little different. Instead, I'm going to walk you through a typical pentest, and we're going to see where you should use each tool within Burp Suite along the way.
Juice Shop Heroku - juice-shop herokuapp com
0:00 Intro
0:57 Setup
1:57 Reconnaissance Steps
2:16 Application Mapping
5:42 Parameter Tampering
9:44 Finding Secrets
14:01 Registration/Login Flow
20:03 Analyzing JWT Tokens
23:16 Special Message
25:25 Exploiting IDOR
26:21 Burp Intruder Workflow
28:06 Advanced Intruder Settings
33:03 Finding Logic Flaws
37:30 Exploiting Logic Flaws
39:31 Success & Homework for you
40:23 Putting it all together (Another logic flaw)
49:26 Stealing Christmas
49:52 How you know you're done
50:50 Wrap up
https://www.youtube.com/watch?v=QiNLNDSLuJY
#pentest
#bug_bounty
Master Burp Suite Like A Pro In Just 1 Hour
One of the most common problems with modern tutorials for tools is that they tend to sound a lot like man-pages or documentation. For instance, they'll tell you all about the little command flags, all the little buttons you can click on; but something that they seem to miss out on is "WHY you would use each of these options?"
So, for this video, we're going to do things a little different. Instead, I'm going to walk you through a typical pentest, and we're going to see where you should use each tool within Burp Suite along the way.
Juice Shop Heroku - juice-shop herokuapp com
0:00 Intro
0:57 Setup
1:57 Reconnaissance Steps
2:16 Application Mapping
5:42 Parameter Tampering
9:44 Finding Secrets
14:01 Registration/Login Flow
20:03 Analyzing JWT Tokens
23:16 Special Message
25:25 Exploiting IDOR
26:21 Burp Intruder Workflow
28:06 Advanced Intruder Settings
33:03 Finding Logic Flaws
37:30 Exploiting Logic Flaws
39:31 Success & Homework for you
40:23 Putting it all together (Another logic flaw)
49:26 Stealing Christmas
49:52 How you know you're done
50:50 Wrap up
https://www.youtube.com/watch?v=QiNLNDSLuJY
YouTube
Master Burp Suite Like A Pro In Just 1 Hour
One of the most common problems with modern tutorials for tools is that they tend to sound a lot like man-pages or documentation. For instance, they'll tell you all about the little command flags, all the little buttons you can click on; but something that…