Monday , 27 March 2017
Home » Kiến Thức An Ninh Mạng » Công cụ bảo mật chuyên nghiệp Burp suite

Công cụ bảo mật chuyên nghiệp Burp suite

Xem thêm:

Phát hiện lỗ hổng XSS chính xác, nhanh gọn với Burp Suite và PhantomJS

Burp suite Công cụ bảo mật đặc chủng (Phần 1)

Burp suite là gì

Burp suite là một ứng dụng java dùng để kiểm thử xâm nhập ứng dụng web. Burp bao gồm nhiều công cụ nhỏ (chức năng) khác nhau, các công cụ này bổ trợ cho nhau trong quá trình kiểm thử.

Có thể download Burp suite tại http://portswigger.net/burp/download.html

Tại sao lại chọn Burp suite

  • Miễn phí: Burp suite có hai loại phiên bản free và pro (mất phí). Bản pro sẽ có thêm chức năng scan web, tuy nhiên với phiên bản free ta cũng có thể sử dụng hầu hết các chức năng chính của Burp như proxy server, web spider, intruder and repeater.
  • Tiện lợi: Burp suite tích hợp nhiều công cụ khác nhau nên tiện lợi cho người sử dụng, không cần bật nhiều công cụ một lúc, burp suite đã làm tất cả cho bạn.
  • Dễ sử dụng: để chạy được ứng dụng burp suite người dùng chỉ cần cài môi trường java (jre) sau đó click đúp vào file chạy là có thể sử dụng. Do được phát triển trên ngôn ngữ java nên Burp có giao diện thuận tiện cho người dùng.

cong cu quet bao mat

Giao diện của Burp suite

Chức năng chính của Burp suite

Proxy server

  • Để sử dụng chức năng này, trước hết bật burp suite lên sau đó vào tab proxyà options đánh dấu vào ô running (mặc định là sử dụng interface loopback 127.0.0.1 và cổng 8080). Bạn cũng có thể chạy proxy server trên interface hoặc cổng khác khác bằng cách sử dụng nút edit hoặc add để thay đổi hay thêm interface chạy proxy server.
  • Lúc này bạn có thể dùng burp suite để bắt các yêu cầu http được gửi từ trình duyệt cũng như phản hồi từ phía server. Để xem nội dung các gói tin vào tab proxyàHTTP history.

cong cu quet bao mat1

Repeater

Chức năng này giúp người dùng có thể tùy thay đổi và phát lại các yêu cầu HTTP khác nhau gửi tới server, phân tích các phản hồi từ phía server khi gửi các yêu cầu khác nhau.

Để sử dụng Burp repeater, vào tab repeater trong burp suite, chọn mục tiêu ở góc trên bên phải, sau đó điền vào domain hoặc địa chỉ IP của mục tiêu và cổng tương ứng (thông thường là 80 đối với HTTP và 443 đối với HTTPS).

Sau khi chọn mục tiêu, sử dụng cột bên trái điền nội dung các yêu cầu gửi đi, dữ liệu trả về sẽ có ở cột bên phải.

Ta cũng có thể lấy những dữ liệu bắt được để sử dụng lại trong repeater bằng cách click chuột phải vào dữ liệu cần phát lại rồi chọn send to repeater

cong cu quet bao mat2

Web spider

  • Đây là chức năng tự động duyệt web để xác định cấu trúc (site map) của một trang web. Để sử dụng chức năng này ta vào tab TargetàSite map, click chuột phải vào mục tiêu và chọn spider this host

cong cu quet bao mat3

Decoder

Đây là chức năng giúp người dùng có thể decode hay encode dữ liệu theo các dạng khác nhau

Ngoài ra burp suite còn có chức năng tính toán các hàm hash như MD5, SHA-1, SHA-256, SHA512

Vào tab decoder nhập dữ liệu cần encode hoặc decode, chọn encode (decode), kiểu dữ liệu cần encode, decode

cong cu quet bao mat4

Comparer

Burp suite có chức năng so sánh các gói tin khác nhau (theo dạng word hoặc byte), chức năng này giúp người dùng so sánh các dữ liệu có dung lượng lớn một cách dễ dàng.

Như ta thấy trên bảng so sánh dữ liệu được tô các màu khác nhau (màu cam: bị sửa đổi, màu xanh: bị xóa, màu vàng: được thêm vào, màu trắng: giữ nguyên).

cong cu quet bao mat7

Phần 2

 

 

Lượt xem (953)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

quet lo hong bao mat

Công cụ bảo mật chuyên nghiệp Burp suite (Phần cuối)

Xem thêm: Thực hành trên công cụ DVWA Burp Intruder là một công cụ dùng …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *