Burp Suite — основной инструмент для пентеста веб-приложений, позволяющий подделывать запросы, обходить аутентификацию и находить уязвимости. Существуют бесплатная версия Community (с ограничениями) и платная Professional (499 долларов в год, есть 30-дневный триал). Для тестов используется дырявое приложение OWASP Juice Shop, устанавливаемое через Node.js или Docker. Работа строится на перехвате и модификации запросов через встроенный браузер Chromium или прокси-сервер.
