Mit Burp kann man HTTP(S)-Verbindungen untersuchen und manipulieren. 
PortSwigger hat seinem kostenlosen Netzwerkanalyse-Werkzeugkasten Burp Free mit Version 1.5 nicht nur ein frischeres Antlitz spendiert, sondern unter anderem auch beigebracht, Android-Geräte abzuhorchen. Android weicht laut den Burp-Entwicklern beim Aufbau verschlüsselter Verbindungen vom SSL-Standard ab, was das Analysetool nun nicht länger aus der Bahn wirft.
Zudem lässt sich der Proxy nun anweisen, HTTPS-Adressen in Serverantworten in HTTP umzuwandeln; ähnlich wie Moxie Marlinspikes sslstrip. Auch der umgekehrte Weg, also das Erzwingen von HTTPS, unterstützt Burp nun. Darüber hinaus kann Burp 1.5 das Secure-Flag von Cookies entfernen. Das Flag weist den Web-Browser an, das Cookie keinesfalls über eine unverschlüsselte Verbindung zu übertragen. Des Weiteren schleust Burp jetzt Server-Antworten durch, die offen gehalten werden – etwa, um den Client kontinuierlich mit neuen Daten zu versorgen.
Auch die Bedienung wird komfortabler: Laut den Entwicklern können jetzt alle Burp-Funktionen über Hotkeys angesteuert werden. Im Proxy lassen sich Einträge farblich hervorheben und kommentieren. Burp-Neulinge werden zu schätzen wissen, dass nun eine vollständige Dokumentation eingebaut ist.
Burp läuft als Java-Programm unter allen gängigen Desktop-Betriebssystemen. Einen größeren Funktionsumfang bietet die kostenpflichtige Pro-Ausgabe, etwa zum Aufspüren von Sicherheitslücken in Web-Anwendungen. Eine detaillierte Liste der Unterschiede finden sich direkt beim Hersteller.
Update vom 01.11. 13:50: Einige der Neuerungen, wie etwa die Android-Unterstützung, hatte PortSwigger zuvor schon für seine zahlende Kundschaft in die Professional Edition eingebaut. Mit Version 1.50 sind sie auch in die Free Edition eingeflossen. (rei)
0 Kommentare:
Kommentar veröffentlichen