Навыки burp-suite-testing
🛡️

burp-suite-testing

Низкий риск ⚙️ Внешние команды🌐 Доступ к сети📁 Доступ к файловой системе

Тестирование веб-приложений с Burp Suite

Burp Suite — это мощный инструмент для тестирования безопасности веб-приложений, однако его обширные функции могут быть ошеломляющими. Этот навык предоставляет структурированный рабочий процесс для перехвата HTTP-трафика, выявления уязвимостей и проведения профессиональных оценок безопасности.

Поддерживает: Claude Codex Code(CC)
⚠️ 61 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «burp-suite-testing». Как изменить параметры запроса в Burp Suite?

Ожидаемый результат:

Для изменения параметров запроса: 1) Включите перехват в Proxy > Intercept > Intercept is on, 2) Выполните запрос в браузере, 3) Отредактируйте параметры непосредственно в перехваченном запросе, 4) Нажмите Forward для отправки измененного запроса. Для повторного тестирования щелкните правой кнопкой мыши любой запрос в HTTP history и выберите Send to Repeater для удобной модификации и повторной отправки.

Использование «burp-suite-testing». Какие распространенные полезные нагрузки для тестирования SQL-инъекции?

Ожидаемый результат:

Распространенные полезные нагрузки для SQL-инъекции включают: ' OR '1'='1 (базовый обход аутентификации), ' OR '1'='1'-- (обход на основе комментариев), 1 UNION SELECT NULL-- (union-based инъекция), OR 1=1-- (инъекция в числовой параметр). Всегда тестируйте как с параметрами GET, так и POST, и отслеживайте сообщения об ошибках, разное время ответа или раскрытие данных.

Аудит безопасности

Низкий риск
v1 • 2/25/2026

This is a legitimate Burp Suite documentation skill for authorized web application security testing. Static findings (external_commands, filesystem, network) are FALSE POSITIVES - they represent example payloads shown in a reference section for educational purposes, not actual executable code. The skill contains proper operational boundaries and best practices. Risk level set to low due to educational nature of payload examples.

1
Просканировано файлов
386
Проанализировано строк
7
находки
1
Всего аудитов

Критические проблемы (2)

SKILL.md:273-294
Example Payloads in Documentation
Static scanner detected command patterns (e.g., 'cat /etc/passwd', 'whoami') and path traversal examples (e.g., '../../../etc/passwd'). These are FALSE POSITIVES - example payloads shown in the 'Common Testing Payloads' reference section (SKILL.md:273-294) for educational purposes. They are markdown text examples, not executable code.
Misidentified Weak Cryptographic Algorithm
Static scanner flagged 'weak cryptographic algorithm' at multiple lines (3, 198, 218, 234, 385), but no cryptographic code exists in this skill. This is a FALSE POSITIVE likely caused by the scanner misinterpreting documentation text.
Проблемы среднего риска (1)
SKILL.md:27SKILL.md:362SKILL.md:368
Legitimate Local Proxy Configuration
Network references to 127.0.0.1:8080 and http://burp are legitimate local proxy configurations for Burp Suite, not external network connections.
Проблемы низкого риска (1)
SKILL.md:1-386
Educational Security Testing Content
The skill provides comprehensive guidance on web application security testing using Burp Suite. All 'dangerous' patterns detected are example payloads in a reference section, which is standard practice for security training materials.

Факторы риска

⚙️ Внешние команды (1)
SKILL.md:63-353
🌐 Доступ к сети (3)
SKILL.md:27 SKILL.md:362 SKILL.md:368
📁 Доступ к файловой системе (1)
SKILL.md:287-288

Обнаруженные паттерны

Example Penetration Testing Payloads
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
31
Сообщество
43
Безопасность
91
Соответствие спецификации

Что вы можете построить

Оценка безопасности нового веб-приложения

Провести комплексное тестирование безопасности нового веб-приложения перед развертыванием в производство для выявления и устранения уязвимостей.

Валидация безопасности API

Тестировать REST API на наличие уязвимостей к инъекциям, обходам аутентификации и неправильным проверкам доступа с использованием методов модификации запросов.

Исследование уязвимостей и обучение

Изучать методы тестирования безопасности веб-приложений, практикуясь на примерах уязвимостей в контролируемой лабораторной среде.

Попробуйте эти промпты

Базовая перехват HTTP 
Как перехватывать HTTP-запросы с помощью Burp Suite? Проведите меня через настройку прокси и захват трафика из веб-браузера.
Тестирование на SQL-инъекцию 
Покажите, как использовать Burp Repeater для тестирования формы входа на уязвимость к SQL-инъекции. Включите примеры полезных нагрузок и как интерпретировать ответы.
Тестирование бизнес-логики 
Продемонстрируйте, как тестировать уязвимости бизнес-логики в приложении электронной коммерции с помощью Burp Suite. Как определить и эксплуатировать проблемы с манипуляцией цен?
Автоматическое сканирование уязвимостей 
Проведите меня через запуск автоматического сканирования уязвимостей с Burp Suite Professional. Как настроить параметры сканирования, отслеживать прогресс и просматривать результаты?

Лучшие практики

  • Всегда определяйте и настраивайте область целевого приложения перед началом обширного тестирования, чтобы избежать случайного тестирования неавторизованных приложений
  • Используйте встроенный браузер Burp для надежной интеграции прокси без ручной настройки браузера
  • Регулярно сохраняйте проект Burp для сохранения работы и возможности совместной работы с командой

Избегать

  • Не тестируйте приложения без явного разрешения — несанкционированное тестирование безопасности является незаконным
  • Избегайте агрессивного сканирования, которое может вызвать отказ в обслуживании — ограничивайте скорость автоматического сканирования
  • Никогда не полагайтесь только на результаты автоматического сканера — всегда вручную проверяйте результаты для снижения ложных срабатываний

Часто задаваемые вопросы

Burp Suite бесплатен?
Burp Suite предлагает редакции Community и Professional. Community Edition включает Proxy, Repeater и базовую функциональность Intruder. Professional Edition добавляет автоматический Scanner, расширенные функции Intruder и поддержку расширений.
Могу ли я тестировать HTTPS-сайты с Burp Suite?
Да, но вам нужно установить CA-сертификат Burp в браузере для перехвата HTTPS-трафика. Перейдите по адресу http://burp в настроенном браузере, чтобы скачать сертификат, затем добавьте его в доверенные корневые центры сертификации вашего браузера.
В чем разница между Repeater и Intruder?
Repeater предназначен для ручного ad-hoc тестирования отдельных запросов, где вы модифицируете и повторно отправляете один запрос за раз. Intruder автоматизирует повторное тестирование с несколькими полезными нагрузками, полезно для фаззинга, брутфорс-атак и перечисления параметров.
Как избежать тестирования веб-сайтов вне области?
Настройте область целевого приложения, щелкнув правой кнопкой мыши на целевом хосте в Target > Site map и выбрав 'Add to scope'. Затем включите фильтр отображения 'Show only in-scope items', чтобы исключить нежелательный трафик из вида.
Почему мой браузер не подключается через прокси Burp?
Проверьте, что прослушиватель прокси активен в Proxy > Options, подтвердите, что настройки прокси браузера указывают на 127.0.0.1:8080, проверьте наличие блокировки брандмауэром локальных подключений или используйте встроенный браузер Burp для надежной настройки.
Легальна ли использование Burp Suite для тестирования безопасности?
Burp Suite — легальный инструмент, но вы должны тестировать только приложения, которыми владеете или на которые имеете явное письменное разрешение. Несанкционированный пентестинг является незаконным в большинстве юрисдикций. Всегда документируйте область вашего разрешения.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/burp-suite-testing

Ссылка

main

Структура файлов

📄 SKILL.md