[iT邦鐵人賽][駭客工具 Day10] web安全測試 – Burp Suite

Burp Suite,或者常簡稱Burp,
是一款用於web安全測試的強大工具,
如果有安裝Kali Linux,或是未來打算安裝Kali的,
可以注意到桌面左側快速啟動圖示裡面其中一個就是Burp,
我想這也算是足以證明它好用又強大的證據之一。

這套工具其實算是我滿熟悉常用的工具之一,
但是因為太過於強大、功能多,並且也不算簡易入門,
所以內容沒有甚麼教學,純粹扼要介紹,
如果要學習更多內容一樣網路很多教學der。

Burp是一個用於測試Web應用程式安全性的圖形化工具。
使用Java編寫,由PortSwigger Web Security開發。
該工具有三個版本,可以看看下列官網頁面:
https://portswigger.net/burp

我相信一般人都是使用免費的Community版本,
那有趣的是可以注意到有收費的有Enterprise跟Professional,
雖然一個有比較貴不過沒有限定一個user使用,並且兩個版本的內容功能是不同的。

Burp這套工具我是不確定黑帽駭客攻擊與滲透時是不是會用,
但是在資安圈做滲透測試的話這套工具幾乎是不可或缺的好用工具,
當然工具很多,Burp包含的同樣功能一定找得到也都會有其他工具有,
很多時候都是用習慣的問題而已,
不過Burp就已經包含了很多功能,我是覺得值得好好學一下這套工具。

以我自己來說,除了攔截觀察看看HTTP Request/Response
最常使用的大概是修改HTTP Request內容跟Intruder暴力破解。

Burp Suite功能概要如下:
(以下大致參考維基百科)

  • Proxy: 使Burp作為Web proxy運行,並且位於瀏覽器和目標 Web server之間。
    可以利用這種方式從Burp攔截、檢查和修改在兩個方向上通過的HTTP內容。
  • Scanner: Web 應用程式安全掃描器,用於執行 Web 應用程式的自動漏洞掃描。
  • Intruder: 可以利用Intruder進行暴力破解攻擊。也可以檢測 SQL Injection、XSS等等漏洞。
  • Spider: 網站爬蟲,自動抓取 Web 應用程式的工具,可以幫助你建立網站Map。
  • Repeater: 可以用來手動測試HTTP Request的簡單功能,可以修改Request內容的請求,重新發送並觀察結果。
  • Decoder: 將已編碼的數據轉換為其規範形式,或將原始數據轉換為各種編碼和散列形式的工具。
  • Comparer: 在任意兩個數據項之間執行比較(一個可視化的「差異」)的工具。
  • Extender: 允許加載 Burp 擴展,使用安全測試人員自己的或第三方代碼(BAppStore)擴展 Burp 的功能
  • Sequencer: 分析數據項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的數據項,如反 CSRF 令牌、密碼重置令牌等。

本文為作者參與第 11 屆 iT 邦幫忙鐵人賽的文章
原文連結
https://ithelp.ithome.com.tw/users/20114110/ironman/2536

發佈留言

Close Menu