Clever Geek Handbook

نصائح جناح التجشؤ

Burp Suite عبارة عن منصة لإجراء اختبار أمان تطبيقات الويب. في هذا المنشور ، سأشارك بعض النصائح حول كيفية استخدام هذه الأداة بشكل أكثر فعالية.





إعدادات



للعمل بشكل صحيح مع أي أداة ، من المهم تخصيصها بنفسك. هناك نوعان من الإعدادات في Burp Suite:



  • خيارات المستخدم - الإعدادات المتعلقة ببرنامج Burp Suite نفسه
  • خيارات المشروع - إعدادات ما تخترقه


ترميزات



, . UtF-8 . User Options -> Display -> Characters Sets.







Burp Suite . , " ". User Options -> Misc -> Hotkeys. :



  • \:

    • Ctrl+(Shift)+U|H|B “URL|HTML|Base64 (de)code”
  • GUI:

    • Ctrl+Shift+T|P|S|I|R — “ ”
    • Ctrl+I|R|D — " "
  • Burp Repeater:

    • Ctrl+G — " Burp Repeater"


Proxy Interception



, Burp Proxy - , ? . - , . … , . User -> Misc -> Proxy Interseption "Always Disable".







PortSwigger . "", . , — , PortSwigger. User Options -> Misc -> Performance Feedback .



Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server







, . :



  • ( JSON ).
  • .
  • (, git ).
  • :


{
    "project_options":{
        // options
    },
    "user_options":{
        // options
    }
}




Burp Suite . , .





, .





Burp Suite Java, , . :



java -jar -Xmx2048M burp.jar




Burp Suite. :



  • Burp Proxy Burp Suite, , , .
  • Burp Repeater — HTTP-, - .
  • Burp Intruder — -. , , .




, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .







Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.







Burp Suite , , . , , - .





Burp Repeater, Burp Intruder, .





. Burp , , . , , "+", "Auto-scroll to match when text changes".







\. Burp Repeater View->Top/bottom split







Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .







Burp Intruder , . , /, - . , , , , .



:



  • Add prefix / suffix — .
  • Match / replace — , , .
  • Encode / Decode — : URL, HTML, Base64, ASCII hex.
  • Hash — .
  • Skip if matches regex — , . , , , , .




Intruder



Burp Intruder , . Burp . , , , .





يصبح استخدام هذا الخيار مفيدًا للغاية عند تحليل كميات كبيرة من نتائج الفحص ويسمح لك بالعثور على الأشياء المهمة بسرعة. على سبيل المثال ، عند اختبار حقن SQL ، سيساعدك البحث عن الرسائل التي تحتوي على "ODBC" و "خطأ" وما إلى ذلك في العثور بسرعة على معلمات ضعيفة.



More articles:


All Articles