Burp Suite je populárny a výkonný nástroj, ktorý používajú profesionáli v oblasti bezpečnosti, vývojári a testeri zabezpečenia kvality na identifikáciu a opravu bezpečnostných zraniteľností vo webových aplikáciách.
Dozvieme sa, čo je Burp Suite a ako ho môžete nainštalovať a nastaviť vo svojom systéme Linux.
Čo je to Burp Suite?
Burp Suite je výkonný nástroj používaný na hodnotenie bezpečnosti webových aplikácií. V podstate funguje ako MITM (man-in-the-middle) proxy, ktorý vám umožňuje obojsmerne zachytávať, kontrolovať a manipulovať s prevádzkou.
Dodáva sa s výkonným arzenálom nástrojov, ktoré môžete použiť na identifikáciu a zneužitie zraniteľností vo webových aplikáciách. Sada obsahuje nástroje na vykonávanie automatických skenov, manuálneho testovania a prispôsobených útokov.
Burp Suite môžete použiť na rôzne účely vrátane identifikácie SQL injekcií (SQLi), cross-site skriptovania (XSS) a
iné bezpečnostné chyby. Burp Suite je vysoko prispôsobiteľný a môžete ho prispôsobiť špecifickým potrebám testovania cieľovej aplikácie.Predpoklady pre inštaláciu Burp Suite v systéme Linux
Pred inštaláciou akéhokoľvek softvéru sa odporúča aktualizovať a inovovať systém, aby ste sa uistili, že má najnovšie bezpečnostné záplaty a aktualizácie. Môžete to urobiť pomocou nasledujúcich príkazov:
Na Ubuntu- a Linuxové distribúcie založené na Debiane:
sudo apt update && apt upgrade -yNa Arch Linuxe a jeho derivátoch:
sudo pacman -SyuNa RHEL a Fedore:
upgrade sudo dnfPo aktualizácii a inovácii systému ste pripravení prejsť na ďalšie kroky.
Stiahnutie a inštalácia Burp Suite v systéme Linux
Burp Suite si môžete stiahnuť z oficiálnej webovej stránky PortSwigger. Sú to vývojári a správcovia Burp Suite.
Stiahnuť ▼:Suita Burp
Tu sú kroky na stiahnutie a inštaláciu Burp Suite do vášho systému Linux:
- Spustite prehliadač a otvorte oficiálnu webovú stránku PortSwigger a prejdite na stránku sťahovania. Alebo jednoducho kliknite na vyššie uvedený odkaz na stiahnutie.
- Burp Suite Community Edition je na používanie zadarmo a postačuje, ak práve začínate s bug bounty a podobným zabezpečením aplikácií. Vyberte Burp Suite Community Edition z rozbaľovacej ponuky pre Linux 64 bit na spustenie sťahovania.
- Po dokončení sťahovania otvorte terminál a spustite skript. Ak to chcete urobiť, prejdite do adresára, do ktorého ste stiahli súbor pomocou príkazu cd. Potom urobte súbor spustiteľným pomocou:
chmod +x burpsuite_community_linux*.sh - Nakoniec spustite skript spustením:
./burpsuite_community_linux*.sh - Po spustení skriptu by vás mal privítať inštalačný program Burp Suite, kde si môžete nakonfigurovať inštaláciu podľa svojich predstáv.
Teraz by ste mali mať nainštalovaný Burp Suite na vašom systéme Linux. Ak chcete spustiť Burp Suite, otvorte zásuvku aplikácie a vyhľadajte ju. Môžete si ho pridať do doku/obľúbených položiek pre rýchly prístup.
S inštalačným procesom mimo cesty, poďme k nastaveniu Burp Suite na testovanie bezpečnosti.
Nastavenie webového prehliadača pre Burp Suite
Burp Suite je navrhnutý tak, aby fungoval s väčšinou moderných webových prehliadačov. Musíte však vykonať nejakú dodatočnú konfiguráciu, aby ste sa uistili, že Burp Suite dokáže správne komunikovať s prehliadačom.
Na ukážku použijeme ako primárny prehliadač Mozilla Firefox.
Prvým krokom pri nastavovaní vášho prehliadača na používanie s Burp Suite je inštalácia rozšírenia FoxyProxy Standard. FoxyProxy je nástroj, ktorý umožňuje používateľom nakonfigurovať svoj prehliadač na používanie proxy servera. To je pre Burp Suite kľúčové na zachytenie a úpravu prevádzky medzi prehliadačom a serverom.
Rozšírenie prehliadača FoxyProxy nájdete v Internetovom obchode Chrome pre Google Chrome alebo na stránke Addons pre Mozilla Firefox.
Stiahnuť ▼: FoxyProxy (Google Chrome | Mozilla Firefox)
Akonáhle je FoxyProxy úspešne nainštalovaný, ďalším krokom je jeho správna konfigurácia na používanie Burp Suite ako proxy servera. Pri konfigurácii postupujte podľa nasledujúcich krokov:
- Otvorte možnosti FoxyProxy kliknutím na ikonu FoxyProxy v ponuke rozšírení a výberom možnosti z rozbaľovacej ponuky.
- Klikni na Pridať nový proxy vytvorte novú konfiguráciu servera proxy. V Podrobnosti o proxy zadajte názov novej konfigurácie servera proxy, napríklad Burp Suite.
- V Adresa IP proxy pole, zadajte 127.0.0.1a nakoniec v Port proxy zadajte číslo portu, na ktorom Burp Suite počúva (štandardne je to 8080).
- Uložte novú konfiguráciu servera proxy kliknutím na Uložiť tlačidlo. Po uložení aktivujte konfiguráciu proxy kliknutím na ikonu FoxyProxy na paneli nástrojov a výberom novej konfigurácie proxy z roletového menu.
Teraz ste úspešne nakonfigurovali svoj prehliadač na odosielanie a prijímanie návštevnosti do az aplikácie Burp Suite.
Ak to chcete otestovať, jednoducho aktivujte rozšírenie FoxyProxy a pod Proxy v aplikácii Burp Suite kliknite na Odpočúvanie zapnuté. Mali by ste vidieť prichádzajúce požiadavky vyplnené webovým prenosom.
Odinštalovanie Burp Suite z Linuxu
Niekedy sa môžete stretnúť s chybami v balíku Burp Suite alebo vo všeobecnosti s problémami s konfiguráciou. Najlepším spôsobom, ako to opraviť, je čistá reinštalácia aplikácie Burp Suite.
Zatiaľ čo proces inštalácie a nastavenia Burp Suite je pomerne zdĺhavý, proces odinštalovania je naopak hračkou. Ak chcete odinštalovať Burp Suite, prejdite do adresára, kde je nainštalovaný – nezabudnite, že ste to nastavili počas procesu inštalácie.
V adresári aplikácie nájdete súbor uninstall.sh skript. Spravte ho spustiteľným pomocou "chmod +x názov súboru"príkaz a spustite ho. To by malo spustiť odinštalačný program, ktorý môžete použiť na odinštalovanie Burp Suite z vašej distribúcie Linuxu.
Ak chcete preinštalovať balík Burp Suite, jednoducho zopakujte všetky kroky, ktoré ste vykonali pri jeho prvej inštalácii.
Aj keď je Burp Suite jedným z najlepších nástrojov na testovanie bezpečnosti na trhu, nie je rozumné spoliehať sa na jediný nástroj na dôkladné testovanie úrovne zabezpečenia vašej webovej stránky alebo aplikácie.
Existuje mnoho ďalších nástrojov na skenovanie zraniteľností, ktoré automatizujú vyhľadávanie zraniteľností a v spojení s Burp Suite môžu akútne otestovať bezpečnosť vašich aplikácií.
