Burp Suite: What is Burp Suite?
Author: Anonputraid
Last updated
Was this helpful?
Author: Anonputraid
Last updated
Was this helpful?
Secara khusus, kita akan melihat:
Apa itu Burp Suite?
Ikhtisar alat yang tersedia dalam kerangka kerja
Memasang Burp Suite untuk Anda sendiri
Menavigasi dan mengonfigurasi Burp Suite.
Sederhananya: Burp Suite adalah kerangka kerja yang ditulis dalam Java yang bertujuan untuk menyediakan one-stop-shop untuk pengujian penetrasi aplikasi web. Dalam banyak hal, tujuan ini tercapai karena Burp adalah alat standar industri untuk penilaian keamanan aplikasi web langsung. Suite juga sangat umum digunakan saat menilai aplikasi seluler, karena fitur yang sama yang membuatnya sangat menarik untuk pengujian aplikasi web diterjemahkan hampir sempurna ke dalam pengujian API ( Antarmuka Pemrograman Burp Aplikasi yang sebagian besar aplikasi seluler.
Pada tingkat yang paling sederhana, Burp dapat menangkap dan memanipulasi semua lalu lintas antara penyerang dan server web: ini adalah inti dari kerangka kerja. Setelah menangkap permintaan, kami dapat memilih untuk mengirimnya ke berbagai bagian lain dari kerangka Burp Suite -- kami akan membahas beberapa alat ini di ruang mendatang. Kemampuan untuk mencegat, melihat, dan memodifikasi permintaan web sebelum dikirim ke server target (atau, dalam beberapa kasus, tanggapan sebelum diterima oleh browser kami), menjadikan Burp Suite sempurna untuk segala jenis pengujian aplikasi web manual .
Ada berbagai edisi Burp Suite yang tersedia. Kami akan bekerja dengan Komunitas Burp Suite , karena ini gratis untuk digunakan untuk penggunaan non-komersial (legal). Edisi Burp Suite Professional dan Enterprise keduanya memerlukan lisensi yang mahal tetapi dilengkapi dengan fitur tambahan yang kuat:
Burp Suite Professional adalah versi tak terbatas dari Burp Suite Community. Muncul dengan fitur-fitur seperti:
Pemindai kerentanan otomatis
Seorang fuzzer/bruteforcer yang tidak dibatasi tarifnya
Menyimpan proyek untuk penggunaan di masa mendatang; pembuatan laporan
API bawaan untuk memungkinkan integrasi dengan alat lain
Akses tak terbatas untuk menambahkan ekstensi baru untuk fungsionalitas yang lebih besar
Akses ke Burp Suite Collaborator (secara efektif menyediakan penangkap permintaan unik yang dihosting sendiri atau berjalan di server milik Portswigger)
Singkatnya, Burp Pro adalah alat yang sangat kuat -- itulah sebabnya ia hadir dengan label harga £319/$399 per pengguna untuk berlangganan satu tahun. Untuk alasan ini, Burp Pro biasanya hanya digunakan oleh para profesional (dengan lisensi yang sering diberikan oleh pemberi kerja).
Burp Suite Enterprise sedikit berbeda. Tidak seperti edisi komunitas dan profesional, Burp Enterprise digunakan untuk pemindaian berkelanjutan. Ini menyediakan pemindai otomatis yang secara berkala dapat memindai aplikasi web untuk kerentanan dengan cara yang sama seperti perangkat lunak seperti melakukan pemindaian infrastruktur otomatis. Tidak seperti edisi Burp Suite lainnya yang memungkinkan Anda melakukan serangan manual dari komputer Anda sendiri, Enterprise berada di server dan terus-menerus memindai aplikasi web target untuk mengetahui kerentanannya.
Karena biaya mahal yang terkait dengan salah satu edisi Burp Suite ini, kami akan tetap menggunakan rangkaian fitur inti yang disediakan oleh Burp Suite Community.
Catatan: Burp Suite untuk Windows ditampilkan di tangkapan layar untuk banyak demonstrasi; namun, tidak ada perbedaan antara ini dan salinan Burp Suite yang diinstal pada AttackBox.
Sementara Burp Community memiliki kumpulan fitur yang relatif terbatas dibandingkan dengan edisi Professional, ia masih memiliki banyak alat luar biasa yang tersedia. Ini termasuk:
Proxy: Aspek paling terkenal dari Burp Suite, Burp Proxy memungkinkan kita untuk mencegat dan memodifikasi permintaan/tanggapan saat berinteraksi dengan aplikasi web.
Repeater: Fitur Burp paling terkenal kedua -- -- memungkinkan kita menangkap, memodifikasi, lalu mengirim ulang permintaan yang sama berkali-kali. Fitur ini bisa sangat berharga, terutama ketika kita perlu membuat muatan melalui coba-coba (misalnya dalam injeksi SQLi -- Terstruktur saat Kueri menguji atau ) Bahasa fungsionalitas titik akhir untuk mencari kekurangannya.
Intruder: Meskipun sangat dibatasi tingkatnya di Komunitas Burp, memungkinkan kami untuk menyemprot titik akhir dengan permintaan. Ini sering digunakan untuk serangan bruteforce atau untuk mengaburkan titik akhir.
Decoder: Meskipun lebih jarang digunakan daripada fitur yang disebutkan sebelumnya, masih memberikan layanan yang berharga saat mengubah data -- baik dalam hal mendekode informasi yang ditangkap, atau mengkodekan muatan sebelum mengirimkannya ke target. Meskipun ada layanan lain yang tersedia untuk melakukan pekerjaan yang sama, melakukan ini secara langsung di dalam Burp Suite bisa sangat efisien.
Comparer: Seperti namanya, memungkinkan kita untuk membandingkan dua bagian data pada tingkat kata atau byte. Sekali lagi, ini bukan sesuatu yang unik untuk Burp Suite, tetapi dapat mengirim (berpotensi sangat besar) potongan data langsung ke alat perbandingan dengan satu pintasan keyboard dapat mempercepat banyak hal.
Sequencer: Kami biasanya menggunakan saat menilai keacakan token seperti nilai cookie sesi atau data yang dihasilkan secara acak lainnya. Jika algoritme tidak menghasilkan nilai acak yang aman, maka ini dapat membuka beberapa jalan serangan yang menghancurkan.