Jak zainstalować pakiet Burp w systemie Linux
Bezpieczeństwo aplikacji internetowych ma kluczowe znaczenie w dzisiejszym połączonym świecie. Staje się coraz ważniejszy, ponieważ liczba cyberzagrożeń i luk w zabezpieczeniach stale rośnie. Burp Suite to potężne narzędzie, które pomoże Ci znaleźć i naprawić te luki w zabezpieczeniach. To narzędzie jest popularne wśród programistów, testerów kontroli jakości i ekspertów bezpieczeństwa sieci. Ten samouczek pokazuje, jak zainstalować Burp Suite w systemie Linux.
Co to jest Burp Suite?
Burp Suite to ujednolicona platforma do penetracji i oceny bezpieczeństwa aplikacji internetowych. Jest to kompleksowy zestaw funkcji, który pomaga analitykom bezpieczeństwa i hakerom w białych kapeluszach znajdować i wykorzystywać luki w aplikacjach internetowych.
Typowe luki w zabezpieczeniach, takie jak skrypty międzywitrynowe (XSS), wstrzykiwanie kodu SQL i niezabezpieczone bezpośrednie odwołania do obiektów (IDOR), można wykryć za pomocą pakietu Burp Suite, analizując i manipulując żądaniami i odpowiedziami HTTP. Działa skutecznie jako Mitmproxy, umożliwiając przechwytywanie, analizowanie i modyfikowanie ruchu w obu kierunkach.
Burp Suite jest znany z mnóstwa narzędzi, w tym Proxy, Scanner, Intruder, Repeater, Sequencer i Extender.
Przed instalacją
Aktualizacja systemu jest zawsze zalecana przed zainstalowaniem jakiegokolwiek oprogramowania, ponieważ zapewnia aktualizację systemu przy użyciu najnowszych poprawek zabezpieczeń. Uruchom poniższe polecenia, aby to zrobić.
W przypadku dystrybucji Linuksa opartych na Ubuntu i Debianie:
sudo apt update && apt upgrade -y
Następnie sprawdź wersję Java swojego systemu:
java -version
Jesteś gotowy do pobrania i zainstalowania Burp Suite.
Pobieranie i instalowanie pakietu Burp Suite w systemie Linux
- Przejdź do witryny PortSwigger i sprawdź sekcję pobierania, aby uzyskać link do pobrania.
- Wersja Burp Suite Community Edition jest wersją bezpłatną i wystarczającą do rozpoczęcia wyszukiwania błędów i bezpieczeństwa aplikacji. Wybierz „Burp Suite Community Edition” z listy rozwijanej dla systemu Linux 64-bit, aby rozpocząć pobieranie.
- Po zakończeniu pobierania uruchom terminal.
cd
do folderu pobierania, a następnie uruchomchmod
polecenie, aby uczynić go wykonywalnym.
cd ~/Downloads
chmod +x burpsuite_community_linux_v2023_4_4.sh
- Uruchom skrypt z uprawnieniami administratora:
sudo. / burpsuite_community_linux_v2023_1_2.sh
- Instalator Burp Suite znajdziesz na ekranie, tuż po uruchomieniu skryptu. Kliknij „Dalej”, aby kontynuować instalację.
- Otwórz szufladę aplikacji i wyszukaj Burp Suite, a następnie kliknij, aby go uruchomić.
Konfigurowanie przeglądarki za pomocą Burp Suite
Chociaż Burp Suite jest kompatybilny z innymi przeglądarkami internetowymi , będzie wymagał dodatkowych konfiguracji przeglądarki, aby lepiej działał.
Aby rozpocząć, musimy zainstalować rozszerzenie FoxyProxy Standard , narzędzie, które pozwala użytkownikom skonfigurować przeglądarkę do korzystania z serwera proxy . Burp Suite używa tego narzędzia do przechwytywania i modyfikowania ruchu między przeglądarką a serwerem.
Po zainstalowaniu rozszerzenia:
- Kliknij ikonę FoxyProxy w menu wtyczek i wybierz „Opcje” z rozwijanej listy, aby uzyskać dostęp do opcji FoxyProxy.
- Kliknij przycisk „Dodaj nowy serwer proxy”, aby utworzyć nową konfigurację serwera proxy.
- Wprowadź dowolną nazwę dla nowej konfiguracji proxy w zakładce „Szczegóły proxy”.
- W polu „Adres IP serwera proxy” podaj adres IP jako 127.0.0.1, a numer portu jako 8080, wartość domyślna.
- Kliknij przycisk „Zapisz”, aby zapisać zaktualizowaną konfigurację serwera proxy.
- Kliknij ikonę FoxyProxy na pasku narzędzi, aby ją aktywować.
Przeglądarka może teraz wysyłać i odbierać ruch za pośrednictwem aplikacji Burp Suite.
Konfigurowanie certyfikatu bezpieczeństwa
Wykonaj poniższe czynności, aby skonfigurować certyfikat bezpieczeństwa.
- Uruchom przeglądarkę i otwórz http://127.0.0.1:8080.
- Wybierz „Certyfikat CA” w prawym górnym rogu i zapisz plik.
- Przejdź do ustawień przeglądarki i przejdź do zakładki „Prywatność i bezpieczeństwo”.
- Znajdź sekcję „Certyfikaty”, kliknij „Wyświetl certyfikat” i wybierz „Importuj”.
- Wybierz certyfikat w wyskakującym oknie i kliknij przycisk „OK”.
Teraz jesteśmy gotowi do przetestowania Burp Suite.
Aby przetestować aplikację Burp Suite, otwórz ją, a następnie kliknij przycisk „Przechwyć” pod zakładką proxy i włącz ją. Będziesz mógł zobaczyć ruch przychodzący.
Running Burp Suite
- Po otwarciu aplikacji Burp Suite pojawi się pytanie, od którego projektu zacząć: projekt tymczasowy lub istniejący otwarty projekt.
- Po wybraniu typu projektu naciśnij „Dalej”, zaznacz opcję „Użyj ustawień domyślnych Burp”, a następnie kliknij „Start Burp”.
- Burp Suite Community Edition rozpocznie projekt. Listę narzędzi wymaganych do testowania aplikacji znajdziesz na górze strony w linii.
- Najpierw musisz naprawić ustawienia proxy, a następnie nacisnąć przycisk „Przechwytywanie włączone”. Po otwarciu przeglądarki uruchomi się funkcja Burp Suite Proxy. Będziesz mógł zobaczyć aktywność ruchu i szczegóły pakietów danych w bieżącej sieci.
Teraz możesz przetestować swoją nową aplikację w Burp Suite. Sprawdź także więcej narzędzi bezpieczeństwa typu open source dla systemu Linux.
Odinstalowanie pakietu Burp
Podczas gdy instalacja i konfiguracja Burp Suite jest dość dużym zadaniem, dezinstalacja jest odwrotna.
- Przejdź do katalogu aplikacji i znajdź skrypt „uninstall.sh”.
- Spraw, aby był wykonywalny:
chmod +x uninstall.sh
- Uruchom skrypt:
./uninstall.sh
- Pojawi się dezinstalator Burp Suite. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby odinstalować aplikację Burp Suite z systemu Linux.
Często Zadawane Pytania
Czy Burp Suite Community Edition nadaje się do użytku komercyjnego?
Tak. Jest całkowicie darmowy i nie wymaga żadnych opłat licencyjnych. Dostępna jest również wersja Professional Edition pakietu Burp Suite, zapewniająca ulepszone funkcje i opcje dostosowywania.
Jakie są ograniczenia Burp Suite Community Edition?
Chociaż Burp Suite Community Edition zapewnia podstawowe narzędzia do testowania bezpieczeństwa, ma kilka wad w porównaniu z wersją profesjonalną. Niektóre z tych ograniczeń obejmują ograniczoną funkcjonalność narzędzia skanera, ograniczone możliwości raportowania i mniej opcji dostosowywania.
Źródło obrazu: Pexels . Zmiany i zrzuty ekranu autorstwa Surajita Saha .
Dodaj komentarz