الأربعاء، 4 أكتوبر 2017

الدرس السابع والستون شرح أداة burp suite








مقدمة:
burp suite هي أداة لاختبار اختراق تطبيقات الويب مكتوبة بلغة الجافا تم تصميمها من قبل PortSwigger Security.


يوجد نسختين من brupsuite نسخة مجانية ونسخة مدفوعة سنتعرف عليهما في دورة خاصة
هذه الأداة تقوم بعمل فحص شامل للموقع وتقدم الكثير من الأدوات المفيدة ويمكن عمل تخمين على كلمات مرور لوحات التحكم أو فك تشفير اكواد المواقع

الأدوات:
يوجد في الأداة عن ما يقارب 9 أدوات داخل الأداة سنقوم ايضاً بشرحها جميعاً وهم
HTTP Proxy وهو اهم شئ في الأداة وظيفته وقف منتصف الطريق لاعتراض الموقع وتمريره عبر الأداة
Scanner هذه تقوم في فحص نقاط الضعف لكن لا توجد في النسخة المجانية.
Intruder هذه الأداة تقوم بهجوم على تطبيقات الويب وتتوفر الأداة على خوارزميات يمكن قراءتها على طلبات http,
ويمكن ايضاً تعديل على كود البرمجي javascript او html لتنفيذ مهمة معينة سوف نشرحها بالتفصيل
Spider أما هذه تقوم بعمل شم للموقع المراد فحصه وتجلب جميع الملفات مثل js او ملفات الصور أو لوحات التحكم سوف نشاهدها ايضاً ليتم إيضاح المعنى.
Repeater هية أداة بسيطة يمكن استخدامها لاختبار تطبيق معين او شئ معين في الموقع مثل الشراء شئ من الموقع او شئ من هذا القبيل ويمكن أيضا تعديل الطلب واعادة ارساله لمراقبة ماذا سيحدث سوف نتكلم بالتفصيل ونشاهد أمثلة على ذلك
Decoder هذه الأداة تقوم تشفير اي كود برمجي في الموقع مثل html او javascript
Comparer أداة لإجراء مقارنة بين البيانات سنشاهد شرح تفصيلي ايضاً
Extender يسمح هذا الخيار لإضافة API مثل java او python لعمل شئ معين سنتحدث عنه ايضاً بالتفصيل
ويوجد مثل تطبيقات خاصة فيه توجد في هذا الموقع لمن يريد تصفحها
https://portswigger.net/bappstore/
Sequencer أداة لتحليل البيانات ويمكن استخدام رموز معينة مثل الكوكيز لمعرفة طلبات الموقع سنتحدث عن أهميتها


بالنسبة للادوات المستخدمة في الشرح في هذا الرابط
https://github.com/WebGoat/WebGoat

Burp Suite professional بالنسبة لنسخة الـ

من هذا الرابط

https://github.com/rinetd/burpsuite

لمشاهدة الدرس الأول للأداة من هنا.



الدرس الثاني من هنا.



الدرس الثالث شرح Target و site map.


الدرس الرابع شرح Scanner



الدرس الخامس شرح Intruder



تكملة الـ intruder والـ Payloads



في هذا الدرس نكمل قسم Intruder ونشرح Payload Character substitution و case Modification



في هذا الدرس سوف نتكلم عن الـ options في الـ Intruder



في هذا الدرس سوف نتكلم عن الـ Payload Recursive grep في الـ Intruder

في هذا الدرس سوف نتكلم عن payload illegal Unicode في الـ Intruder


في هذا الدرس سوف نتكلم عن payload Character blocks - Buffer Overflow

في هذا الدرس سوف نتكلم عن payload Numbers

في هذا الدرس سوف نتكلم عن Payload Dates

في هذا الدرس سوف نتكلم عن Payload Brute Forcer

في هذا الدرس سوف نتكلم عن Payload Null Payloads
في هذا الدرس سوف نتكلم عن Payload Character frobber

في هذا الدرس سوف نتكلم عن Payload Bit flipper


في هذا الدرس سوف نتكلم عن Payload Username Generator

في هذا الدرس سوف نتكلم عن Payload ECB block shuffler

روابط الدرس
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation

https://portswigger.net/blog/breaking-encrypted-data-using-burp

https://www.vulnhub.com/entry/pentester-lab-electronic-codebook-ecb,67/

https://www.vulnhub.com/entry/pentester-lab-padding-oracle,174/

http://ad.samsclass.info/token.htm

مواضيع ذات صلة

الدرس السابع والستون شرح أداة burp suite
4/ 5
Oleh