HAKATEMIA
10BurpSuite - Community

BurpSuite - Extensions

Helppo5MIN

Mitä ovat Burp Suiten laajennukset?

Burp Suite tukee laajennuksia joilla voidaan lisätä uusia toimintoja työkaluun tai parantaa olemassa olevia.

Laajennuksilla voi esimerkiksi:

  • Lisätä Burppiin uusia ikkunoita ja valikoita.
  • Analysoida ja muunnella burpin läpi kulkevia HTTP-viestejä.
  • Automatisoida istunnonhallintaa.
  • Opettaa skannerin tunnistamaan uusia haavoittuvuuksia.

BApp Store

Burp Suiten laajennuksia voi kehittää itse, mutta onneksi aina ei tarvitse. Burpin sisältä löytyy "sovelluskauppa" josta voi näppärästi etsiä ja asentaa laajennuksia.

Java vs. Python

Burp on tehty Javalla joten Burpin laajennukset ovat myös Javaa. Laajennuksia voi kuitenkin tehdä myös Python-syntaksilla vaikka teknisesti ottaen taustalla on "Jython" joka muuntaa Python-koodia Javaksi.

Jythonin asennus

Edellä mainitusta syystä jotkut lisäosat kaipaavat Jython-binäärin toimiakseen. Se ei syystä tai toisesta tule Burpissa mukana joten se pitää erikseen ladata ja kertoa Burpille että missä se on.

Valitse Burpin lisäosa listauksesta esimerkiksi työkalu nimeltä *Autorize *ja valitse sitten Download Jython.

Tämä avaa verkkosivun, jonka kautta voit ladata kyseisen Jython ohjelman. Voit myös navigoida linkkiin https://www.jython.org/download.html. Valitse tältä sivulta *Standalone *-versio ohjelmasta ja lataa se alas.

Siirry sitten *Extensions Settings *-sivulle joko menemällä asetuksiin yläpalkin kautta tai valitsemalla *Extensions *-sivulta *Extensions Settings. *Lopuksi valitse *Python Environment *kohdasta *Location of Jython Standalone JAR file *ja aseta tämä ladattuun JAR tiedostoon.

Nyt voit avata *Autorize -*lisäosan uudestaan ja sinun pitäisi voida asentaa laajennus (ja muutkin Jythonia vaativat laajennukset).

Suosittuja laajennuksia

Lopuksi muutamia hyväksi todettuja lisäosia saatavilla Community versioon, joihin kannattaa ehdottomasti tutustua. On myös hyvä muistaa, että lisäosia tulee uusia jatkuvasti ja, että näiden käytettävyys on hyvin subjektiivinen asia. Tietoturvatestaajilla on usein omat suosikki lisäosat ja näihin kannattaa tutustua vapaasti.

  • Autorize - hyvä työkalu pääsynhallinnan testaamiseen
  • AuthMatrix - sama idea kuin Autorize työkalussa
  • Param Miner - auttaa etsimään piilossa olevia parametrejä ja otsakkeita
  • Http Request Smuggler - Auttaa todentamaan HTTP Request Smuggling haavoittuvuuksia
  • Scope Monitor - Parantaa kykyä seurata omaa testausprogressia
  • PDF Viewer - Voit katsoa miltä PDF dokumentti näyttää suoraan Burpissa

Testaa oppimaasi

1 / 2
EdellinenSeuraava
Hakatemia Pro

Hakkeroinnin oppiminen alkaa tästä

Sadat interaktiiviset kurssit, virtuaalilabrat ja CTF-haasteet selaimessasi. Aloita ilmainen kokeilu ilman korttitietoja.