Bitlab Developers
  • Introduction
  • 🐧Linux
    • Perkenalan Linux
    • DVWA: Install On Kali Linux
    • MYSQL: Kali Linux
    • How To Add Apps In Kali Linux
    • Initial Linux Installation
    • Linux: Fundamentals
    • Linux: Privilege Escalation
  • 💾HackLovers ID
    • Penestration Testing
    • Check Kerentanan Manual
    • Security Models
    • Pentesting Fundamentals
    • Metodologi Hacking
      • Metodologi By Anonputraid
    • Scope Penestration
    • Pengumpulan Informasi
    • 📑Learning Path !
  • SQL Injection
    • Perkenalan SQL-Injection
    • Examining the Database
    • Cheat Sheet
    • Union Attack
    • Subverting application logic
    • Retrieving Hidden Data
    • Blind vulnerabilities
      • Blind SQL-Injection: Triggering Conditional Responses
      • Blind SQL injection: Triggering Time Delays
      • Blind SQL Injection: Triggering SQL Errors
      • Blind SQL injection: Out Of Band (OAST)
  • ⚡Networking
    • Network Fundamental
  • Burp-Suite
    • Burp Suite: List
    • Burp Suite: Profesional Install
    • Burp Suite: The Basic
      • Burp Suite: What is Burp Suite?
      • Burp Suite: How To install
      • Burp Suite: The Dashboard
      • Burp Suite: Navigation
      • Burp Suite: Introduction to the Burp Proxy
      • Burp Suite: Connecting through the Proxy (FoxyProxy)
      • Burp Suite: Proxying HTTPS
      • Burp Suite: The Burp Suite Browser
      • Burp Suite: Scoping and Targeting
      • Burp Suite: Site Map and Issue Definitions
      • Burp Suite: Example Attack
    • Burp Suite: Repeater
      • Burp Suite: What is Repeater?
      • Burp Suite: Basic Usage
      • Burp Suite: Inspector
      • Burp Suite: Views
      • Burp Suite: Challenge
      • Burp Suite: SQLi with Repeater
    • Overview of Burp Suite
      • 📋Burp Suite: Anonputraid Tips
        • Burp Suite: Cross-Site Scripting
  • 🤖Hackthebox
    • Pekernalan Hackthebox
    • Hackthebox Machines
    • Tips & Trick
      • Basic Web Enumeration
      • SSRF & CRLF Attacks
      • Metasploit MsfVenom Apk
      • HashCat: Rules Type Base64
      • Forensic Knowledge
      • Gitlab Laboratory
      • Proxychains & DNS
  • Tryhackme
    • Perkenalan Try Hack Me
    • Learning Path
  • 🖥️Mac Os
    • Catalina Tools
      • Visual Studio Code
    • Dual Boot Kali Linux On Mac
    • How To Change Theme Refind
    • How To Remove Refind
    • Tips to Beautify Terminal
    • Macos For Hacking
    • How To Change Icon Macos
  • Pascal
    • Learning Path
    • Struktur Program Pascal
      • Judul program
      • Bagian Pernyataan/Terproses
      • Bagian Deklarasi
        • Deklarasi prosedur dan Fungsi
        • Deklarasi variabel/perubah
        • Deklarasi Tipe
        • Deklarasi Label
        • Deklarasi Konstanta
    • The Basic
      • Tipe Data
        • Tipe Data standar
          • Tipe Data Integer
          • Tipe data real
          • Tipe Data Karakter
          • Tipe Data String
          • Tipe Sata Boolean
        • Tipe Data Terdefinisi
          • Tipe Data Subjangkauan
          • Tipe Data Terbilang
          • Tipe Data Larik (array)
          • Tipe data record dan file
      • Statemen-statemen
        • Reserved Word
      • Perintah Perintah
        • Statemen Input/output
          • Read/readln(Prosedur)
          • ReadKey(fungsi)
          • Write/writeln(prosedur)
        • Statemen Pengaturan Letak Di Layer
          • Clrscr(prosedur)
          • Gotoxy(prosedur)
          • Delline(prosedur)
          • Insline(prosedur)
          • Delay(prosedur)
        • Statemen Memanipulasi String
          • Concat(fungsi)
          • Copy(fungsi)
          • Delete(prosedur)
          • Insert(Prosedur)
          • Length(fungsi)
          • Pos(fungsi)
          • Str(prosedur)
          • Val(prosedur)
          • Upcase(fungsi)
        • Statemen Perhitungan Aritmatik
          • Abs(Fungsi)
          • Arctan(fungsi)
          • Cos(fungsi)
          • Exp(fungsi)
          • Frac(fungsi)
          • Int(fungsi)
          • LN(fungsi)
          • Sin(fungsi)
          • Sqr(fungsi)
          • SQRT(fungsi)
        • Statemen Transfer Nilai Dari Suatu Variable
          • Chr(fungsi)
          • Ord(fungsi)
          • Round(fungsi)
          • Trunc(fungsi)
        • Statemen Memanipulasi Data
          • Pred(fungsi)
          • Succ(fungsi)
          • INC(fungsi)
          • DEC(fungsi)
        • Statemen Tambahan (warna,suara dan window)
          • Sound(prosedur)
          • TextMode(prosedur)
          • Window(prosedur)
          • Textbackground(prosedur)
          • TextColor(prosedur)
      • Bentuk Perulangan
        • Perulangan FOR
          • Perulangan FOR negatif
          • Perulangan FOR positif
          • Perulangan FOR tersarang
        • Perulangan WHILE-DO
      • Record
        • Deklarasi Record
        • Statemen with
        • Record Dalam Array
        • Field Record Bertipe Array
        • Tipe Data Record Dengan Field Tipe Record
      • Procedure
        • Template Latihan Proseduce
        • Parameter Dalam Procedure
        • Pengiriman parameter Secara Nilai
        • Pengiriman Parameter Secara Acuan (By Reference)
        • Procedure Memanggil Procedure Yang Lain
        • Procedure Tersarang
        • Procedure Memanggil Dirinya Sendiri (Rekursi)
      • Function
        • Rekursi Pada Function
        • Parameter Nilai Dalam Function
        • Function Dengan Parameter Acuan
        • Function tanpa parameter
      • File Teks
        • Membuat File Teks
        • Deklarasi File Teks
        • Pernyataan Rese
        • Pernyataan Rewrite
        • Pernyataan Close
      • File Binary
      • Pascal Library
        • Free Pascal Game
        • SDL: Simple DirectMedia Layer
          • SDL: Language Bindings
        • How To Install ?
      • Pascal Examples
        • Pascal Exercises
          • Exersices 1
          • Exersices 2
          • Exersices 3
          • Exersices 4
        • Pascal Quiz
          • Question 1
      • Perkenalan Pascal
  • Dart Programming
    • Install Dart On Linux
  • ⚙️Technical
    • Pengantar Sistem Informasi
    • Perkenalan UEFI & Legacy
  • Git Dan Github
    • Download Git & Setting
    • Membuat Portofolio GitHub
  • Xampp
    • Error Mysql Xampp
Powered by GitBook
On this page

Was this helpful?

  1. Burp-Suite
  2. Burp Suite: The Basic

Burp Suite: Introduction to the Burp Proxy

Last updated 3 years ago

Was this helpful?

Sebelum kita mulai mempelajari tentang Burp Proxy, mari kita lihat opsi yang tersedia untuk mengonfigurasi Burp Suite.

  • Pengaturan global dapat ditemukan di User options tab di sepanjang bilah menu atas.

  • Pengaturan khusus proyek dapat ditemukan di Project options tab

Opsi yang disediakan di tab Opsi pengguna akan berlaku setiap kali kita membuka Burp Suite. Sebaliknya, opsi Proyek hanya akan berlaku untuk saat ini. Mengingat bahwa kami tidak dapat menyimpan proyek di Komunitas Burp, ini berarti bahwa opsi proyek kami akan disetel ulang setiap kali kami menutup Burp.

Ada terlalu banyak opsi untuk mencakup semuanya, jadi mari kita lihat kategori yang tersedia dan sorot beberapa dari sedikit pengaturan penting. Kami akan mulai dengan User options tab

Pengaturan di sini berlaku secara global (yaitu mereka mengontrol aplikasi Burp Suite -- bukan hanya proyek). Yang mengatakan, banyak dari mereka dapat ditimpa dalam pengaturan proyek.

Ada empat sub-bagian utama dari tab Opsi pengguna:

  • Opsi di Connections sub-tab Misalnya, kita dapat mengatur proxy untuk Burp Suite agar terhubung melalui; ini sangat berguna jika kita ingin menggunakan Burp Suite melalui jaringan pivot.

  • TLS memungkinkan kami untuk mengaktifkan dan menonaktifkan berbagai opsi TLS ( T ransport L ayer S ecurity), serta memberi kami tempat untuk mengunggah sertifikat klien jika aplikasi web mengharuskan kami menggunakannya untuk koneksi.

  • Seperangkat opsi penting: Tampilan memungkinkan kita mengubah tampilan Burp Suite. Opsi di sini mencakup hal-hal seperti mengubah font dan skala, serta mengatur tema untuk kerangka kerja (misalnya mode gelap) dan mengonfigurasi berbagai opsi yang berkaitan dengan mesin rendering di Repeater (lebih lanjut tentang ini nanti!).

  • Misc berisi berbagai macam pengaturan, termasuk tabel keybinding (HotKeys), yang memungkinkan kita untuk melihat dan mengubah pintasan keyboard yang digunakan oleh Burp Suite. Membiasakan diri Anda dengan pengaturan ini akan disarankan, karena menggunakan keybinds dapat mempercepat alur kerja Anda secara besar-besaran.

Dengan opsi ini, kami dapat menyesuaikan pemasangan Burp kami agar sesuai dengan preferensi pribadi kami.

Mari kita lanjutkan untuk melihat konfigurasi khusus proyek yang tersedia di Opsi proyek tab

Ada lima sub-tab di sini:

  • Koneksi memiliki banyak opsi yang sama dengan bagian yang setara dari tab Opsi pengguna: ini dapat digunakan untuk mengesampingkan pengaturan seluruh aplikasi. Misalnya, dimungkinkan untuk menyetel proksi hanya untuk proyek, mengesampingkan pengaturan proksi apa pun yang Anda atur di tab Opsi pengguna. Namun , ada beberapa perbedaan antara sub-tab ini dan opsi Pengguna. Misalnya, opsi "Hostname Resolution" (memungkinkan Anda untuk memetakan domain ke IP langsung di dalam Burp Suite) bisa sangat berguna -- seperti halnya pengaturan "Out-of-Scope Requests", yang memungkinkan kami menentukan apakah Burp akan mengirim permintaan untuk apa pun yang tidak Anda targetkan secara eksplisit (lebih lanjut tentang ini nanti!).

    • HTTP mendefinisikan bagaimana Burp menangani berbagai aspek HTTP : misalnya, apakah itu mengikuti pengalihan atau bagaimana menangani kode respons yang tidak biasa.

  • TLS memungkinkan kami untuk mengganti opsi TLS di seluruh aplikasi, serta menunjukkan kepada kami daftar sertifikat server publik untuk situs yang telah kami kunjungi.

  • Tab Sesi memberi kami opsi untuk menangani sesi. Ini memungkinkan kami untuk menentukan bagaimana Burp memperoleh, menyimpan, dan menggunakan cookie sesi yang diterimanya dari situs target. Ini juga memungkinkan kita untuk mendefinisikan makro yang dapat kita gunakan untuk mengotomatisasi hal-hal seperti masuk ke aplikasi web (memberi kita sesi terotentikasi instan, dengan asumsi kita memiliki kredensial yang valid).

  • Ada lebih sedikit opsi di Lain daripada di tab yang setara untuk bagian "Opsi pengguna". Banyak opsi di sini juga hanya tersedia jika Anda memiliki akses ke Burp Pro (seperti yang mengonfigurasi Collaborator). Yang mengatakan, ada beberapa opsi yang terkait dengan logging dan browser yang disematkan (yang akan kita lihat dalam beberapa tugas) yang layak untuk dibaca.

Burp Proxy adalah alat yang paling mendasar (dan paling penting!) yang tersedia di Burp Suite. Ini memungkinkan kami untuk menangkap permintaan dan tanggapan antara kami dan target kami. Ini kemudian dapat dimanipulasi atau dikirim ke alat lain untuk diproses lebih lanjut sebelum diizinkan untuk melanjutkan ke tujuannya.

Misalnya, jika kita membuat permintaan ke https://anonputraid.gitbook.iomelalui Proxy Burp, permintaan kami akan ditangkap dan tidak akan diizinkan untuk melanjutkan ke server TryHackMe sampai kami secara eksplisit mengizinkannya. Kita dapat memilih untuk melakukan hal yang sama dengan respon dari server, meskipun ini tidak aktif secara default. Kemampuan untuk mencegat permintaan ini pada akhirnya berarti bahwa kami dapat mengambil kendali penuh atas lalu lintas web kami -- kemampuan yang sangat berharga dalam hal menguji aplikasi web.

Ada beberapa konfigurasi yang perlu kita buat sebelum kita dapat menggunakan proxy, tetapi mari kita mulai dengan melihat antarmukanya.

Catatan: Anda tidak perlu mengikuti tugas ini -- cukup baca informasinya dan pahami untuk apa Proxy digunakan.

Saat kami pertama kali membuka tab Proxy, Burp memberi kami banyak informasi berguna dan bacaan latar belakang. Informasi ini sangat layak untuk dibaca; namun, keajaiban sebenarnya terjadi setelah kami menangkap permintaan:

Dengan proxy aktif, permintaan dibuat ke situs web TryHackMe. Pada titik ini, browser yang membuat permintaan akan hang, dan permintaan akan muncul di tab Proxy memberi kita tampilan yang ditunjukkan pada tangkapan layar di atas. Kami kemudian dapat memilih untuk meneruskan atau membatalkan permintaan (berpotensi setelah mengeditnya). Kami juga dapat melakukan berbagai hal lain di sini, seperti mengirim permintaan ke salah satu modul Burp lainnya, menyalinnya sebagai perintah cURL, menyimpannya ke file, dan banyak lainnya.

Setelah selesai bekerja dengan Proxy, kita dapat mengklik tombol "Intercept aktif" untuk menonaktifkan Intercept, yang akan memungkinkan permintaan melewati proxy tanpa dihentikan.

Burp Suite akan tetap (secara default) mencatat permintaan yang dibuat melalui proxy saat intersep dimatikan. Ini bisa sangat berguna untuk kembali dan menganalisis permintaan sebelumnya, bahkan jika kami tidak secara khusus menangkapnya saat dibuat.

Burp juga akan menangkap dan mencatat komunikasi WebSocket, yang, sekali lagi, dapat sangat membantu saat menganalisis aplikasi web.

Log dapat dilihat dengan membuka sub-tab "History HTTP" dan "Riwayat WebSockets":

Perlu dicatat bahwa setiap permintaan yang ditangkap di sini dapat dikirim ke alat lain dalam kerangka kerja dengan mengeklik kanannya dan memilih "Kirim ke...". Misalnya, kita dapat mengambil HTTP yang telah diproksikan ke target dan mengirimkannya ke Repeater

Terakhir, ada juga opsi khusus Proxy, yang dapat kita lihat di sub-tab "Opsi".

Opsi ini memberi kami banyak kendali atas cara kerja proxy, jadi sebaiknya Anda membiasakan diri dengan opsi ini.

Misalnya, proxy tidak akan mencegat respons server secara default kecuali kami memintanya secara eksplisit berdasarkan permintaan. Kami dapat mengganti pengaturan default dengan memilih kotak centang "Intercept response based on the following rules" dan memilih satu atau beberapa aturan. " Or Request Was Intercepted" aturan bagus untuk menangkap respons terhadap semua permintaan yang dicegat oleh proxy:

" And URL Is in target scope" adalah aturan default lain yang sangat bagus; kita akan melihat pelingkupan nanti di ruangan ini.

Anda dapat membuat aturan sendiri untuk sebagian besar opsi Proxy, jadi ini adalah satu bagian di mana melihat-lihat dan bereksperimen akan sangat membantu Anda!

Bagian lain yang sangat berguna dari sub-tab ini adalah bagian "Match and Replace"; ini memungkinkan Anda untuk melakukan regex pada permintaan masuk dan keluar. Misalnya, Anda dapat secara otomatis mengubah User Agent Anda untuk meniru browser web yang berbeda dalam permintaan keluar atau menghapus semua cookie yang disetel dalam permintaan masuk. Sekali lagi, Anda bebas membuat aturan sendiri di sini.