لقد قمنا بتغطية أساسيات إطار اختبار أمان تطبيقات الويب Burp Suite. Burp Suite هو إطار عمل قائم على Java مصمم ليكون بمثابة حل شامل لإجراء اختبار اختراق تطبيقات الويب. لقد أصبحت الأداة القياسية في الصناعة للتقييمات الأمنية العملية لتطبيقات الويب والهواتف المحمولة، بما في ذلك تلك التي تعتمد على واجهات برمجة التطبيقات (APIs). كان هذا جزءًا من TryHackMe BurpSuite: الأساسيات للمبتدئين.
احصل على ملاحظات الدراسة الخاصة بـ COMPTIA Pe ntest+
الدورة التدريبية العملية الكاملة لإداة Metasploit
وصف التحدي
مقدمة لاستخدام Burp Suite لاختراق تطبيقات الويب.
أبرز مقاطع الفيديو
جناح التجشؤ هو إطار عمل قائم على Java مصمم ليكون بمثابة حل شامل لإجراء اختبار اختراق تطبيقات الويب. لقد أصبحت الأداة القياسية في الصناعة للتقييمات الأمنية العملية لتطبيقات الويب والهاتف المحمول، بما في ذلك تلك التي تعتمد عليها أتطبيق صالبرمجة أناnterfaceس (واجهات برمجة التطبيقات).
ببساطة، جناح التجشؤ يلتقط ويمكّن من معالجة جميع حركة مرور HTTP/HTTPS بين المتصفح وخادم الويب. تشكل هذه القدرة الأساسية العمود الفقري للإطار. من خلال اعتراض الطلبات، يتمتع المستخدمون بالمرونة لتوجيهها إلى مكونات مختلفة ضمن إطار عمل Burp Suite، وهو ما سنستكشفه في الأقسام القادمة. إن القدرة على اعتراض طلبات الويب وعرضها وتعديلها قبل وصولها إلى الخادم المستهدف أو حتى معالجة الاستجابات قبل أن يتلقاها متصفحنا تجعل من Burp Suite أداة لا تقدر بثمن للاختبار اليدوي لتطبيقات الويب.
- الوكيل: التجشؤ الوكيل هو الجانب الأكثر شهرة في Burp Suite. فهو يتيح اعتراض الطلبات والاستجابات وتعديلها أثناء التفاعل مع تطبيقات الويب.
- مكرر: ميزة أخرى معروفة. مكرر يسمح بالتقاط وتعديل وإعادة إرسال نفس الطلب عدة مرات. تعتبر هذه الوظيفة مفيدة بشكل خاص عند صياغة الحمولات من خلال التجربة والخطأ (على سبيل المثال، في SQLi – حقن لغة الاستعلام الهيكلية) أو اختبار وظيفة نقطة النهاية بحثًا عن الثغرات الأمنية.
- دخيل: على الرغم من قيود الأسعار في Burp Suite Community، دخيل يسمح برش نقاط النهاية بالطلبات. يتم استخدامه بشكل شائع لهجمات القوة الغاشمة أو نقاط النهاية الغامضة.
- فك التشفير: فك التشفير يقدم خدمة قيمة لتحويل البيانات. يمكنه فك تشفير المعلومات الملتقطة أو تشفير الحمولات قبل إرسالها إلى الهدف. على الرغم من وجود خدمات بديلة لهذا الغرض، فإن الاستفادة من وحدة فك التشفير ضمن Burp Suite يمكن أن تكون فعالة للغاية.
- مقارن: حسب الاسم المقترح، مقارن يتيح مقارنة قطعتين من البيانات على مستوى الكلمة أو البايت. على الرغم من أن هذا لا يقتصر على Burp Suite، إلا أن القدرة على إرسال شرائح بيانات كبيرة محتملة مباشرةً إلى أداة المقارنة باستخدام اختصار لوحة مفاتيح واحد تعمل على تسريع العملية بشكل كبير.
- التسلسل: التسلسل يتم استخدامه عادةً عند تقييم عشوائية الرموز المميزة، مثل قيم ملفات تعريف الارتباط للجلسة أو غيرها من البيانات التي يُفترض أنها تم إنشاؤها عشوائيًا. إذا كانت الخوارزمية المستخدمة لتوليد هذه القيم تفتقر إلى العشوائية الآمنة، فقد تكشف عن سبل لهجمات مدمرة.
إجابات الغرفة
ما هو إصدار Burp Suite الذي سنستخدمه في هذه الوحدة؟
مجتمع جناح التجشؤ
ما هو إصدار Burp Suite الذي يعمل على الخادم ويوفر فحصًا مستمرًا لتطبيقات الويب المستهدفة؟
تجشؤ جناح المؤسسة
يتم استخدام Burp Suite بشكل متكرر عند مهاجمة تطبيقات الويب وتطبيقات ______.
متحرك
ما هي ميزة Burp Suite التي تسمح لنا باعتراض الطلبات بيننا وبين الهدف؟
الوكيل
ما هي أداة التجشؤ التي سنستخدمها إذا أردنا استخدام نموذج تسجيل الدخول بالقوة؟
دخيل
إذا قمنا بتحميل شهادات TLS من جانب العميل في ملف خيارات المستخدم علامة التبويب، هل يمكننا تجاوزها على أساس كل مشروع (نعم/لا)؟
نعم
ما الزر الذي سنختاره لإرسال طلب تم اعتراضه إلى الهدف في Burp Proxy؟
إلى الأمام
[بحث] ما هو رابط المفتاح الافتراضي لهذا؟
السيطرة+F
ما هي درجة الخطورة النموذجية لتبعية JavaScript الضعيفة؟
قليل
تجول الفيديو