logo

Burp Suite - Perusteet

BurpSuite - Extensions

Helppo
30 min

Mitä ovat Burp Suiten laajennukset?

Burp Suite tukee laajennuksia joilla voidaan lisätä uusia toimintoja työkaluun tai parantaa olemassa olevia.

Laajennuksilla voi esimerkiksi:

  • Lisätä Burppiin uusia ikkunoita ja valikoita.
  • Analysoida ja muunnella burpin läpi kulkevia HTTP-viestejä.
  • Automatisoida istunnonhallintaa.
  • Opettaa skannerin tunnistamaan uusia haavoittuvuuksia.

BApp Store

Burp Suiten laajennuksia voi kehittää itse, mutta onneksi aina ei tarvitse. Burpin sisältä löytyy "sovelluskauppa" josta voi näppärästi etsiä ja asentaa laajennuksia.

Java vs. Python

Burp on tehty Javalla joten Burpin laajennukset ovat myös Javaa. Laajennuksia voi kuitenkin tehdä myös Python-syntaksilla vaikka teknisesti ottaen taustalla on "Jython" joka muuntaa Python-koodia Javaksi.

Jythonin asennus

Edellä mainitusta syystä jotkut lisäosat kaipaavat Jython-binäärin toimiakseen. Se ei syystä tai toisesta tule Burpissa mukana joten se pitää erikseen ladata ja kertoa Burpille että missä se on.

Valitse Burpin lisäosa listauksesta esimerkiksi työkalu nimeltä Autorize ja valitse sitten Download Jython.

Tämä avaa verkkosivun, jonka kautta voit ladata kyseisen Jython ohjelman. Voit myös navigoida linkkiin https://www.jython.org/download.html. Valitse tältä sivulta Standalone -versio ohjelmasta ja lataa se alas.

Siirry sitten Extensions Settings -sivulle joko menemällä asetuksiin yläpalkin kautta tai valitsemalla Extensions -sivulta Extensions Settings. Lopuksi valitse Python Environment kohdasta Location of Jython Standalone JAR file ja aseta tämä ladattuun JAR tiedostoon.

Nyt voit avata Autorize -lisäosan uudestaan ja sinun pitäisi voida asentaa laajennus (ja muutkin Jythonia vaativat laajennukset).

Suosittuja laajennuksia

Lopuksi muutamia hyväksi todettuja lisäosia saatavilla Community versioon, joihin kannattaa ehdottomasti tutustua. On myös hyvä muistaa, että lisäosia tulee uusia jatkuvasti ja, että näiden käytettävyys on hyvin subjektiivinen asia. Tietoturvatestaajilla on usein omat suosikki lisäosat ja näihin kannattaa tutustua vapaasti.

  • Autorize - hyvä työkalu pääsynhallinnan testaamiseen
  • AuthMatrix - sama idea kuin Autorize työkalussa
  • Param Miner - auttaa etsimään piilossa olevia parametrejä ja otsakkeita
  • Http Request Smuggler - Auttaa todentamaan HTTP Request Smuggling haavoittuvuuksia
  • Scope Monitor - Parantaa kykyä seurata omaa testausprogressia
  • PDF Viewer - Voit katsoa miltä PDF dokumentti näyttää suoraan Burpissa

Testaa oppimaasi

Mikä on ohjelman nimi, jonka BurpSuite tarvitsee, jotta voit asentaa Python - ohjelmointi kielellä kirjoitettuja lisäosia?

hakatemia pro

Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.

Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.