Burp Collaborator

Бесплатно
Windows
macOS
Linux

Сайт: portswigger.net/burp/documentation/collaborator

Burp Collaborator — сетевой сервис, предназначенный для поддержки методов тестирования безопасности веб-приложений, в частности для обнаружения так называемых Out‑of‑Band (OOB) уязвимостей. Сервис интегрируется с инструментами семейства Burp Suite и обеспечивает механизмы удалённого взаимодействия, когда тестируемое приложение выполняет сетевые запросы или разрешает внешние ресурсы, не проявляя при этом заметных признаков в стандартных ответах или логах приложения. Такой подход позволяет выявлять уязвимости, связанные с удалёнными вызовами, DNS‑запросами, HTTP‑взаимодействиями и другими сетевыми побочными эффектами.

Служба работает как точка приёма входящих взаимодействий, генерируемых в ходе тестирования: инструменты безопасности помещают уникальные индикаторы или домены в целевые поля приложения и затем отслеживают поступающие запросы и соединения на эти индикаторы. Поступившие события фиксируются и предоставляются тестировщику через интерфейс интегрированного инструмента. Исторические сведения о развитии сервиса и его внутренних архитектурных решениях обычно описываются производителем и в профессиональной документации; при отсутствии публично доступных подробностей в открытых источниках следует опираться на общепринятые практики OAST и поведение аналогичных решений.

  • Обнаружение OOB‑уязвимостей: регистрация и корреляция входящих сетевых событий, инициированных целевым приложением, включая DNS, HTTP(S) и другие протоколы.
  • Генерация уникальных индикаторов: выдача уникальных доменных имён и маркеров для каждого теста, что позволяет однозначно сопоставлять внешние соединения с конкретными запросами.
  • Интеграция с Burp Suite: взаимодействие с внутренними инструментами для автоматизированной регистрации взаимодействий и отображения результатов в рабочем процессе тестировщика.
  • Логирование и отчетность: сохранение подробных записей о поступивших запросах, включая временные метки, типы протоколов и содержимое запросов, пригодное для дальнейшего анализа.
  • Поддержка различных протоколов: способность принимать и различать записи от DNS‑запросов, HTTP/HTTPS‑сообщений и других сетевых вызовов, используемых в векторе OOB.
  • Изоляция и уникальность тестов: изоляция событий по уникальным маркерам и возможность одновременного проведения множества независимых проверок без конфликтов между ними.
  • Применимость в автоматизированном и ручном тестировании: использование в сценариях как автоматизированного сканирования, так и интерактивной ручной проверки уязвимостей.
  • Поддержка безопасности тестирования: проектирование так, чтобы минимизировать ненужное распространение данных и сокращать ложные срабатывания за счёт точной корреляции индикаторов и входящих взаимодействий.
Подробнее