Tips Bersendawa Suite

Burp Suite adalah platform untuk melakukan pengujian keamanan aplikasi web. Dalam postingan kali ini, saya akan membagikan sedikit tips tentang cara menggunakan alat ini dengan lebih efektif.





Pengaturan



Agar berfungsi dengan baik dengan alat apa pun, penting untuk menyesuaikannya sendiri. Ada 2 jenis pengaturan di Burp Suite:



  • Opsi Pengguna - Pengaturan yang terkait dengan Burp Suite itu sendiri
  • Opsi Proyek - Pengaturan untuk apa yang Anda retas


Pengodean



, . UtF-8 . User Options -> Display -> Characters Sets.







Burp Suite . , " ". User Options -> Misc -> Hotkeys. :



  • \:

    • Ctrl+(Shift)+U|H|B โ€œURL|HTML|Base64 (de)codeโ€
  • GUI:

    • Ctrl+Shift+T|P|S|I|R โ€” โ€œ โ€
    • Ctrl+I|R|D โ€” " "
  • Burp Repeater:

    • Ctrl+G โ€” " Burp Repeater"


Proxy Interception



, Burp Proxy - , ? . - , . โ€ฆ , . User -> Misc -> Proxy Interseption "Always Disable".







PortSwigger . "", . , โ€” , PortSwigger. User Options -> Misc -> Performance Feedback .



Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server







, . :



  • ( JSON ).
  • .
  • (, git ).
  • :


{
    "project_options":{
        // options
    },
    "user_options":{
        // options
    }
}




Burp Suite . , .





, .





Burp Suite Java, , . :



java -jar -Xmx2048M burp.jar




Burp Suite. :



  • Burp Proxy Burp Suite, , , .
  • Burp Repeater โ€” HTTP-, - .
  • Burp Intruder โ€” -. , , .




, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .







Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.







Burp Suite , , . , , - .





Burp Repeater, Burp Intruder, .





. Burp , , . , , "+", "Auto-scroll to match when text changes".







\. Burp Repeater View->Top/bottom split







Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .







Burp Intruder , . , /, - . , , , , .



:



  • Add prefix / suffix โ€” .
  • Match / replace โ€” , , .
  • Encode / Decode โ€” : URL, HTML, Base64, ASCII hex.
  • Hash โ€” .
  • Skip if matches regex โ€” , . , , , , .




Intruder



Burp Intruder , . Burp . , , , .





Menggunakan opsi ini menjadi paling berguna saat menganalisis hasil pemindaian dalam jumlah besar dan memungkinkan Anda menemukan hal-hal yang menarik dengan cepat. Misalnya, saat menguji injeksi SQL, mencari pesan yang berisi "ODBC", "error", dll. Akan membantu Anda menemukan parameter yang rentan dengan cepat.




All Articles