Burp Suite er et populært og kraftfuldt værktøj, der bruges af sikkerhedsprofessionelle, udviklere og kvalitetssikringstestere til at identificere og rette sikkerhedssårbarheder i webapplikationer.
Lad os lære, hvad Burp Suite er, og hvordan du kan installere og konfigurere det på dit Linux-system.
Hvad er Burp Suite?
Burp Suite er et kraftfuldt værktøj, der bruges til at evaluere sikkerheden ved webapplikationer. Det fungerer i det væsentlige som en MITM (man-in-the-middle) proxy, der gør det muligt for dig at opsnappe, inspicere og manipulere trafik tovejs.
Den er udstyret med et kraftfuldt arsenal af værktøjer, som du kan bruge til at identificere og udnytte sårbarheder i webapplikationer. Pakken indeholder værktøjer til at udføre automatiske scanninger, manuel test og tilpassede angreb.
Du kan bruge Burp Suite til forskellige formål, herunder identifikation af SQL-injektioner (SQLi), cross-site scripting (XSS) og
andre sikkerhedssårbarheder. Burp Suite er meget tilpasselig, og du kan skræddersy den til at opfylde de specifikke behov for at teste en målapplikation.Forudsætninger for installation af Burp Suite på Linux
Før du installerer software, anbefales det at opdatere og opgradere systemet for at sikre, at det har de seneste sikkerhedsrettelser og opdateringer. Du kan gøre det ved at bruge følgende kommandoer:
På Ubuntu- og Debian-baserede Linux distros:
sudo apt update && apt upgrade -yPå Arch Linux og dets derivater:
sudo pacman -SyuOm RHEL og Fedora:
sudo dnf opgraderingNår du har opdateret og opgraderet dit system, er du klar til at gå videre til de næste trin.
Download og installation af Burp Suite på Linux
Du kan downloade Burp Suite fra det officielle PortSwigger-websted. De er udviklere og vedligeholdere af Burp Suite.
Hent:Burp Suite
Her er trinene til at downloade og installere Burp Suite på dit Linux-system:
- Tænd en browser og åbn det officielle PortSwigger-websted og naviger til downloadsiden. Eller klik blot på downloadlinket ovenfor.
- Burp Suite Community Edition er gratis at bruge og tilstrækkelig, hvis du lige er begyndt med bug bounty og lignende applikationssikkerhed. Vælg Burp Suite Community Edition fra rullemenuen for Linux 64 bit for at starte overførslen.
- Når overførslen er færdig, skal du åbne en terminal og køre scriptet. For at gøre det skal du navigere til den mappe, hvor du downloadede filen ved hjælp af cd-kommandoen. Gør derefter filen eksekverbar ved at bruge:
chmod +x burpsuite_community_linux*.sh - Udfør endelig scriptet ved at køre:
./burpsuite_community_linux*.sh - Når du har kørt scriptet, bør du blive mødt af Burp Suite-installationsprogrammet, hvor du kan konfigurere installationen efter din smag.
Du skulle nu have Burp Suite installeret på dit Linux-system. For at starte Burp Suite skal du åbne programskuffen og søge efter den. Du kan tilføje den til din dock/favoritter for hurtig adgang.
Med installationsprocessen ude af vejen, lad os komme til at indstille Burp Suite til sikkerhedstest.
Opsætning af webbrowseren til Burp Suite
Burp Suite er designet til at fungere med de fleste moderne webbrowsere. Du skal dog udføre nogle ekstra konfigurationer for at sikre, at Burp Suite kan kommunikere korrekt med browseren.
Til demonstrationen bruger vi Mozilla Firefox som den primære browser.
Det første trin i opsætning af din browser til brug med Burp Suite er at installere FoxyProxy Standard-udvidelsen. FoxyProxy er et værktøj, der giver brugerne mulighed for at konfigurere deres browser til at bruge en proxyserver. Dette er afgørende for, at Burp Suite kan opfange og ændre trafikken mellem browseren og serveren.
Du kan finde FoxyProxy-browserudvidelsen i Chrome Webshop til Google Chrome eller på tilføjelsessiden til Mozilla Firefox.
Hent: FoxyProxy (Google Chrome | Mozilla Firefox)
Når først FoxyProxy er installeret, er næste trin at konfigurere den korrekt til at bruge Burp Suite som proxyserver. Følg nedenstående trin for konfiguration:
- Åbn FoxyProxy-indstillingerne ved at klikke på FoxyProxy-ikonet i udvidelsesmenuen og vælge Muligheder fra rullemenuen.
- Klik på Tilføj ny proxy knappen for at oprette en ny proxy-konfiguration. I den Proxy detaljer fanen, skal du indtaste et navn til den nye proxy-konfiguration, f.eks. Burp Suite.
- I den Proxy IP-adresse felt, indtast 127.0.0.1, og endelig i Proxy port indtast det portnummer, som Burp Suite lytter til (som standard er dette 8080).
- Gem den nye proxy-konfiguration ved at klikke på Gemme knap. Når den er gemt, skal du aktivere proxy-konfigurationen ved at klikke på FoxyProxy-ikonet på værktøjslinjen og vælge den nye proxy-konfiguration fra rullemenuen.
Nu har du konfigureret din browser til at sende og modtage trafik til og fra Burp Suite-applikationen.
For at teste det skal du blot aktivere FoxyProxy-udvidelsen og under Fuldmagt fanen i Burp Suite-applikationen, skal du klikke på Opsnappe Til. Du bør se de indgående anmodninger udfyldt med webtrafik.
Afinstallerer Burp Suite fra Linux
Nogle gange kan du løbe ind i fejl med Burp Suite eller generelt støde på konfigurationsproblemer. Den bedste måde at løse det på er en ren geninstallation af Burp Suite-applikationen.
Selvom installations- og opsætningsprocessen for Burp Suite er ret langvarig, er afinstallationsprocessen derimod et stykke kage. For at afinstallere Burp Suite skal du navigere til den mappe, hvor den er installeret – husk at du indstiller dette under installationsprocessen.
I app-biblioteket finder du en uninstall.sh manuskript. Gør det eksekverbart ved at bruge "chmod +x filnavn" kommando og kør den. Det skulle starte afinstallationsprogrammet, som du kan bruge til at afinstallere Burp Suite fra din Linux-distribution.
For at geninstallere Burp Suite skal du blot gentage alle de trin, du gjorde for at installere den første gang.
Selvom Burp Suite er et af de bedste sikkerhedstestværktøjer på markedet, er det ikke klogt at stole på et enkelt værktøj til grundigt at teste sikkerhedsstatussen på dit websted eller din applikation.
Der er en masse andre sårbarhedsscanningsværktøjer, der automatiserer sårbarhedsjagt, og, når de kombineres med Burp Suite, kan de akut teste sikkerheden af dine applikationer.
