Burp Suite je populární a výkonný nástroj používaný bezpečnostními profesionály, vývojáři a testery zajištění kvality k identifikaci a opravě bezpečnostních slabin ve webových aplikacích.
Pojďme se dozvědět, co je Burp Suite a jak jej můžete nainstalovat a nastavit na vašem systému Linux.
Co je Burp Suite?
Burp Suite je výkonný nástroj používaný k hodnocení bezpečnosti webových aplikací. V podstatě funguje jako MITM (man-in-the-middle) proxy, který vám umožňuje zachycovat, kontrolovat a manipulovat provoz obousměrně.
Je vybaven výkonným arzenálem nástrojů, které můžete použít k identifikaci a zneužití zranitelnosti webových aplikací. Sada obsahuje nástroje pro provádění automatizovaných skenů, ručního testování a přizpůsobených útoků.
Burp Suite můžete používat pro různé účely, včetně identifikace SQL injections (SQLi), cross-site scripting (XSS) a
další bezpečnostní zranitelnosti. Burp Suite je vysoce přizpůsobitelný a můžete jej přizpůsobit tak, aby vyhovoval specifickým potřebám testování cílové aplikace.Předpoklady pro instalaci sady Burp Suite v systému Linux
Před instalací jakéhokoli softwaru se doporučuje aktualizovat a upgradovat systém, abyste měli jistotu, že má nejnovější bezpečnostní záplaty a aktualizace. Můžete tak učinit pomocí následujících příkazů:
Na Ubuntu- a Linuxové distribuce založené na Debianu:
sudo apt update && apt upgrade -yNa Arch Linuxu a jeho derivátech:
sudo pacman -SyuNa RHEL a Fedoře:
upgrade sudo dnfJakmile aktualizujete a upgradujete svůj systém, jste připraveni přejít k dalším krokům.
Stažení a instalace Burp Suite v systému Linux
Burp Suite si můžete stáhnout z oficiálních stránek PortSwigger. Jsou to vývojáři a správci Burp Suite.
Stažení:Burp Suite
Zde jsou kroky ke stažení a instalaci Burp Suite do vašeho systému Linux:
- Spusťte prohlížeč a otevřete oficiální web PortSwigger a přejděte na stránku ke stažení. Nebo jednoduše klikněte na výše uvedený odkaz ke stažení.
- Burp Suite Community Edition je k použití zdarma a postačuje, pokud s bug bounty a podobným zabezpečením aplikací teprve začínáte. Vybrat Burp Suite Community Edition z rozbalovací nabídky pro Linux 64 bit pro zahájení stahování.
- Po dokončení stahování otevřete terminál a spusťte skript. Chcete-li to provést, přejděte do adresáře, do kterého jste soubor stáhli pomocí příkazu cd. Poté udělejte soubor spustitelný pomocí:
chmod +x burpsuite_community_linux*.sh - Nakonec spusťte skript spuštěním:
./burpsuite_community_linux*.sh - Jakmile skript spustíte, měl by vás přivítat instalační program Burp Suite, kde si můžete instalaci nakonfigurovat podle svých představ.
Nyní byste měli mít na svém systému Linux nainstalovanou sadu Burp Suite. Chcete-li spustit Burp Suite, otevřete zásuvku aplikace a vyhledejte ji. Můžete jej přidat do doku/oblíbených pro rychlý přístup.
S instalačním procesem mimo cestu, pojďme k nastavení Burp Suite pro testování zabezpečení.
Nastavení webového prohlížeče pro Burp Suite
Burp Suite je navržen tak, aby fungoval s většinou moderních webových prohlížečů. Musíte však provést nějakou další konfiguraci, abyste zajistili, že Burp Suite může správně komunikovat s prohlížečem.
Pro ukázku budeme jako primární prohlížeč používat Mozilla Firefox.
Prvním krokem při nastavení prohlížeče pro použití s Burp Suite je instalace rozšíření FoxyProxy Standard. FoxyProxy je nástroj, který umožňuje uživatelům nakonfigurovat svůj prohlížeč tak, aby používal proxy server. To je pro Burp Suite klíčové pro zachycení a úpravu provozu mezi prohlížečem a serverem.
Rozšíření prohlížeče FoxyProxy najdete v Internetovém obchodě Chrome pro Google Chrome nebo na stránce Addons pro Mozilla Firefox.
Stažení: FoxyProxy (Google Chrome | Mozilla Firefox)
Jakmile je FoxyProxy úspěšně nainstalován, dalším krokem je jeho správná konfigurace pro použití Burp Suite jako proxy serveru. Pro konfiguraci postupujte podle následujících kroků:
- Otevřete možnosti FoxyProxy kliknutím na ikonu FoxyProxy v nabídce rozšíření a výběrem Možnosti z rozbalovací nabídky.
- Klikněte na Přidat nový proxy tlačítko pro vytvoření nové konfigurace proxy. V Podrobnosti o proxy zadejte název nové konfigurace serveru proxy, například Burp Suite.
- V Adresa IP proxy pole, zadejte 127.0.0.1a konečně v Proxy port zadejte číslo portu, na kterém Burp Suite naslouchá (ve výchozím nastavení je to 8080).
- Uložte novou konfiguraci proxy kliknutím na Uložit knoflík. Po uložení aktivujte konfiguraci proxy kliknutím na ikonu FoxyProxy na panelu nástrojů a výběrem nové konfigurace proxy z rozbalovací nabídky.
Nyní jste úspěšně nakonfigurovali svůj prohlížeč pro odesílání a přijímání provozu do az aplikace Burp Suite.
Chcete-li to otestovat, jednoduše aktivujte rozšíření FoxyProxy a pod Proxy v aplikaci Burp Suite klepněte na Zachycení zapnuto. Měli byste vidět příchozí požadavky naplněné webovým provozem.
Odinstalování Burp Suite z Linuxu
Někdy můžete narazit na chyby s Burp Suite nebo obecně čelit problémům s konfigurací. Nejlepší způsob, jak to opravit, je čistá reinstalace aplikace Burp Suite.
Zatímco proces instalace a nastavení Burp Suite je poměrně zdlouhavý, naproti tomu proces odinstalace je hračka. Chcete-li Burp Suite odinstalovat, přejděte do adresáře, kde je nainstalována – nezapomeňte, že jste toto nastavili během procesu instalace.
V adresáři aplikace najdete soubor uninstall.sh skript. Udělejte jej spustitelný pomocí "chmod +x název souboru"příkaz a spusťte jej. To by mělo spustit odinstalační program, který můžete použít k odinstalování Burp Suite z vaší distribuce Linuxu.
Chcete-li znovu nainstalovat Burp Suite, jednoduše opakujte všechny kroky, které jste provedli při první instalaci.
I když je Burp Suite jedním z nejlepších nástrojů pro testování zabezpečení na trhu, není moudré spoléhat se na jediný nástroj k důkladnému testování stavu zabezpečení vašeho webu nebo aplikace.
Existuje mnoho dalších nástrojů pro skenování zranitelnosti, které automatizují vyhledávání zranitelnosti a ve spojení s Burp Suite mohou otestovat zabezpečení vašich aplikací.
