Burp Suite — популярный и мощный инструмент, используемый специалистами по безопасности, разработчиками и тестировщиками для выявления и устранения уязвимостей безопасности в веб-приложениях.
Давайте узнаем, что такое Burp Suite и как его установить и настроить в вашей системе Linux.
Что такое Burp Suite?
Burp Suite — это мощный инструмент, используемый для оценки безопасности веб-приложений. По сути, он работает как прокси-сервер MITM (man-in-the-middle), позволяя вам перехватывать, проверять и манипулировать трафиком в двух направлениях.
Он оснащен мощным арсеналом инструментов, которые можно использовать для выявления и использования уязвимостей в веб-приложениях. Пакет включает в себя инструменты для автоматического сканирования, ручного тестирования и настраиваемых атак.
Вы можете использовать Burp Suite для различных целей, включая выявление SQL-инъекций (SQLi), межсайтовый скриптинг (XSS) и
другие уязвимости безопасности. Burp Suite обладает широкими возможностями настройки, и вы можете адаптировать его для удовлетворения конкретных потребностей тестирования целевого приложения.Необходимые условия для установки Burp Suite в Linux
Перед установкой любого программного обеспечения рекомендуется обновить и обновить систему, чтобы убедиться, что в ней установлены последние исправления и обновления безопасности. Вы можете сделать это с помощью следующих команд:
На Ubuntu- и Дистрибутивы Linux на основе Debian:
sudo apt update && apt upgrade -y
В Arch Linux и его производных:
судо пакман -Сю
В RHEL и Fedora:
обновление судо днф
После того, как вы обновили и модернизировали свою систему, вы готовы перейти к следующим шагам.
Загрузка и установка Burp Suite в Linux
Вы можете скачать Burp Suite с официального сайта PortSwigger. Они являются разработчиками и сопровождающими Burp Suite.
Скачать:Люкс «Отрыжка»
Вот шаги для загрузки и установки Burp Suite в вашей системе Linux:
- Запустите браузер, откройте официальный сайт PortSwigger и перейдите на страницу загрузки. Или просто нажмите на ссылку для скачивания выше.
- Версия Burp Suite Community Edition бесплатна для использования и достаточна, если вы только начинаете работать с баг-баунти и подобными средствами безопасности приложений. Выбирать Burp Suite Community Edition из раскрывающегося списка для Линукс 64 бит чтобы начать загрузку.
- После завершения загрузки откройте терминал и запустите скрипт. Для этого перейдите в каталог, в который вы скачали файл с помощью команды компакт-диска. Затем сделайте исполняемый файл, используя:
chmod +x burpsuite_community_linux*.sh
- Наконец, запустите скрипт, запустив:
./burpsuite_community_linux*.sh
- После запуска скрипта вас должен приветствовать установщик Burp Suite, где вы можете настроить установку по своему вкусу.
Теперь у вас должен быть установлен Burp Suite в вашей системе Linux. Чтобы запустить Burp Suite, откройте панель приложений и найдите его. Вы можете добавить его в док/избранное для быстрого доступа.
Закончив процесс установки, давайте приступим к настройке Burp Suite для тестирования безопасности.
Настройка веб-браузера для Burp Suite
Burp Suite предназначен для работы с большинством современных веб-браузеров. Однако вам необходимо выполнить дополнительную настройку, чтобы убедиться, что Burp Suite может правильно взаимодействовать с браузером.
Для демонстрации мы будем использовать Mozilla Firefox в качестве основного браузера.
Первым шагом в настройке вашего браузера для использования с Burp Suite является установка стандартного расширения FoxyProxy. FoxyProxy — это инструмент, который позволяет пользователям настроить свой браузер для использования прокси-сервера. Это очень важно для того, чтобы Burp Suite перехватывал и модифицировал трафик между браузером и сервером.
Вы можете найти расширение браузера FoxyProxy в Интернет-магазине Chrome для Google Chrome или на странице дополнений для Mozilla Firefox.
Скачать: ФоксиПрокси (Гугл Хром | Мозилла Фаерфокс)
После успешной установки FoxyProxy следующим шагом будет его правильная настройка для использования Burp Suite в качестве прокси-сервера. Для настройки выполните следующие шаги:
- Откройте параметры FoxyProxy, щелкнув значок FoxyProxy в меню расширений и выбрав Параметры из выпадающего меню.
- Нажать на Добавить новый прокси кнопку, чтобы создать новую конфигурацию прокси. в Сведения о прокси на вкладке введите имя для новой конфигурации прокси, например, Burp Suite.
- в IP-адрес прокси поле, введите 127.0.0.1, и, наконец, в Порт прокси введите номер порта, который прослушивает Burp Suite (по умолчанию это 8080).
- Сохраните новую конфигурацию прокси, нажав кнопку Сохранять кнопка. После сохранения активируйте конфигурацию прокси, щелкнув значок FoxyProxy на панели инструментов и выбрав новую конфигурацию прокси в раскрывающемся меню.
Теперь вы успешно настроили свой браузер для отправки и получения трафика в приложение Burp Suite и из него.
Чтобы протестировать его, просто активируйте расширение FoxyProxy и под Прокси в приложении Burp Suite нажмите на Перехват включен. Вы должны увидеть входящие запросы, заполненные веб-трафиком.
Удаление Burp Suite из Linux
Иногда вы можете столкнуться с ошибками в Burp Suite или вообще столкнуться с проблемами конфигурации. Лучший способ исправить это — чистая переустановка приложения Burp Suite.
В то время как процесс установки и настройки Burp Suite довольно длительный, процесс удаления, напротив, совсем несложный. Чтобы удалить Burp Suite, перейдите в каталог, в котором он установлен — помните, что вы установили его в процессе установки.
В каталоге приложений вы найдете удалить.sh сценарий. Сделайте его исполняемым с помощью "chmod +x имя файла" и запустите его. Это должно запустить программу удаления, которую вы можете использовать для удаления Burp Suite из вашего дистрибутива Linux.
Чтобы переустановить Burp Suite, просто повторите все шаги, которые вы делали для его первой установки.
Хотя Burp Suite является одним из лучших инструментов тестирования безопасности на рынке, неразумно полагаться на один инструмент для тщательной проверки уровня безопасности вашего веб-сайта или приложения.
Существует множество других инструментов сканирования уязвимостей, которые автоматизируют поиск уязвимостей и в сочетании с Burp Suite могут тщательно проверить безопасность ваших приложений.