مقدمة
لقد قمنا بتغطية وكيل Burp Suite الإعدادات بالإضافة إلى إعدادات النطاق والهدف كجزء من مسار TryHackMe Junior Penetration Tester.
على وجه التحديد، سوف ننظر في:
- ما هو جناح التجشؤ
- نظرة عامة على الأدوات المتاحة في الإطار
- تثبيت Burp Suite لنفسك
- التنقل وتكوين Burp Suite.
دورة كاملة في اختبار اختراق تطبيقات الويب
سنقدم أيضًا جوهر إطار عمل Burp Suite: Burp Proxy. تم تصميم هذه الغرفة في المقام الأول لتوفير المعرفة الأساسية حول Burp Suite والتي يمكن بعد ذلك البناء عليها بشكل أكبر في الغرف الأخرى في وحدة Burp؛ على هذا النحو، سيكون أثقل بكثير من الناحية النظرية من الغرف اللاحقة، التي تأخذ نهجًا عمليًا أكثر. ننصحك بقراءة المعلومات هنا ومتابعة نسخة من الأداة بنفسك إذا لم تكن قد استخدمت Burp Suite من قبل. التجريب هو المفتاح: استخدم هذه المعلومات جنبًا إلى جنب مع تجربة التطبيق بنفسك لبناء أساس لاستخدام إطار العمل، والذي يمكن البناء عليه بعد ذلك في غرف لاحقة.
ببساطة: Burp Suite هو إطار عمل مكتوب بلغة Java يهدف إلى توفير متجر شامل لاختبار اختراق تطبيقات الويب. من نواحٍ عديدة، تم تحقيق هذا الهدف نظرًا لأن Burp هو الأداة القياسية الصناعية للتقييمات العملية لأمن تطبيقات الويب. يُستخدم Burp Suite أيضًا بشكل شائع جدًا عند تقييم تطبيقات الهاتف المحمول، حيث أن نفس الميزات التي تجعله جذابًا للغاية لاختبار تطبيقات الويب تترجم بشكل مثالي تقريبًا إلى اختبار واجهات برمجة التطبيقات (أتطبيق صالبرمجة أناnterfaces) لتشغيل معظم تطبيقات الأجهزة المحمولة.
على المستوى الأبسط، يستطيع Burp التقاط كل حركة المرور بين المهاجم وخادم الويب ومعالجتها: وهذا هو جوهر الإطار. بعد التقاط الطلبات، يمكننا اختيار إرسالها إلى أجزاء أخرى مختلفة من إطار عمل Burp Suite - سنقوم بتغطية بعض هذه الأدوات في الغرف القادمة. هذه القدرة على اعتراض طلبات الويب وعرضها وتعديلها قبل إرسالها إلى الخادم المستهدف (أو، في بعض الحالات، الردود قبل أن يتلقاها متصفحنا)، تجعل Burp Suite مثاليًا لأي نوع من اختبارات تطبيقات الويب اليدوية .
إجابات الغرفة
ما هو إصدار Burp Suite الذي يعمل على الخادم ويوفر فحصًا مستمرًا لتطبيقات الويب المستهدفة؟
يتم استخدام Burp Suite بشكل متكرر عند مهاجمة تطبيقات الويب وتطبيقات ______.
ما هي أداة التجشؤ التي سنستخدمها إذا أردنا استخدام نموذج تسجيل الدخول بالقوة؟
بحيث خيارات المشروع في علامة التبويب الفرعية، هل يمكنك العثور على إشارة إلى "جرة ملفات تعريف الارتباط"؟
بحيث خيارات المستخدم علامة التبويب الفرعية، هل يمكنك تغيير سلوك تحديث Burp Suite؟
ما اسم القسم الموجود داخل خيارات المستخدم علامة التبويب الفرعية "Suite" التي تسمح لك بتغيير روابط مفاتيح Burp Suite؟
إذا قمنا بتحميل شهادات TLS من جانب العميل في ملف خيارات المستخدم علامة التبويب، هل يمكننا تجاوزها على أساس كل مشروع (نعم/لا)؟
ما الزر الذي سنختاره لإرسال طلب تم اعتراضه إلى الهدف في Burp Proxy؟
[بحث] ما هو رابط المفتاح الافتراضي لهذا؟
ملحوظة: افترض أنك تستخدم Windows أو لينكس (أي قم بتبديل Cmd بـ Ctrl).
ما هو العلم الذي تتلقاه؟
ابحث في قائمة تعريفات المشكلة.
ما هي درجة الخطورة النموذجية لتبعية JavaScript الضعيفة؟
