مقدمة:
burp suite هي أداة لاختبار اختراق تطبيقات الويب مكتوبة بلغة الجافا تم تصميمها من قبل PortSwigger Security.
يوجد نسختين من brupsuite نسخة مجانية ونسخة مدفوعة سنتعرف عليهما في دورة خاصة
هذه الأداة تقوم بعمل فحص شامل للموقع وتقدم الكثير من الأدوات المفيدة ويمكن عمل تخمين على كلمات مرور لوحات التحكم أو فك تشفير اكواد المواقع
الأدوات:
يوجد في الأداة عن ما يقارب 9 أدوات داخل الأداة سنقوم ايضاً بشرحها جميعاً وهم
HTTP Proxy وهو اهم شئ في الأداة وظيفته وقف منتصف الطريق لاعتراض الموقع وتمريره عبر الأداة
Scanner هذه تقوم في فحص نقاط الضعف لكن لا توجد في النسخة المجانية.
Intruder هذه الأداة تقوم بهجوم على تطبيقات الويب وتتوفر الأداة على خوارزميات يمكن قراءتها على طلبات http,
ويمكن ايضاً تعديل على كود البرمجي javascript او html لتنفيذ مهمة معينة سوف نشرحها بالتفصيل
Spider أما هذه تقوم بعمل شم للموقع المراد فحصه وتجلب جميع الملفات مثل js او ملفات الصور أو لوحات التحكم سوف نشاهدها ايضاً ليتم إيضاح المعنى.
Repeater هية أداة بسيطة يمكن استخدامها لاختبار تطبيق معين او شئ معين في الموقع مثل الشراء شئ من الموقع او شئ من هذا القبيل ويمكن أيضا تعديل الطلب واعادة ارساله لمراقبة ماذا سيحدث سوف نتكلم بالتفصيل ونشاهد أمثلة على ذلك
Decoder هذه الأداة تقوم تشفير اي كود برمجي في الموقع مثل html او javascript
Comparer أداة لإجراء مقارنة بين البيانات سنشاهد شرح تفصيلي ايضاً
Extender يسمح هذا الخيار لإضافة API مثل java او python لعمل شئ معين سنتحدث عنه ايضاً بالتفصيل
ويوجد مثل تطبيقات خاصة فيه توجد في هذا الموقع لمن يريد تصفحها
https://portswigger.net/bappstore/
Sequencer أداة لتحليل البيانات ويمكن استخدام رموز معينة مثل الكوكيز لمعرفة طلبات الموقع سنتحدث عن أهميتها
بالنسبة للادوات المستخدمة في الشرح في هذا الرابط
https://github.com/WebGoat/WebGoat
Burp Suite professional بالنسبة لنسخة الـ
من هذا الرابط
https://github.com/rinetd/burpsuite
بالنسبة للادوات المستخدمة في الشرح في هذا الرابط
https://github.com/WebGoat/WebGoat
Burp Suite professional بالنسبة لنسخة الـ
من هذا الرابط
https://github.com/rinetd/burpsuite
لمشاهدة الدرس الأول للأداة من هنا.
الدرس الثاني من هنا.
الدرس الثالث شرح Target و site map.
الدرس الرابع شرح Scanner
الدرس الخامس شرح Intruder
تكملة الـ intruder والـ Payloads
في هذا الدرس نكمل قسم Intruder ونشرح Payload Character substitution و case Modification
في هذا الدرس سوف نتكلم عن الـ options في الـ Intruder
في هذا الدرس سوف نتكلم عن الـ Payload Recursive grep في الـ Intruder
في هذا الدرس سوف نتكلم عن payload illegal Unicode في الـ Intruder
في هذا الدرس سوف نتكلم عن payload Character blocks - Buffer Overflow
في هذا الدرس سوف نتكلم عن payload Numbers
في هذا الدرس سوف نتكلم عن Payload Dates
في هذا الدرس سوف نتكلم عن Payload Brute Forcer
في هذا الدرس سوف نتكلم عن Payload Null Payloads
في هذا الدرس سوف نتكلم عن Payload Character frobber
في هذا الدرس سوف نتكلم عن Payload Bit flipper
في هذا الدرس سوف نتكلم عن Payload Username Generator
في هذا الدرس سوف نتكلم عن Payload ECB block shuffler
روابط الدرس
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation
https://portswigger.net/blog/breaking-encrypted-data-using-burp
https://www.vulnhub.com/entry/pentester-lab-electronic-codebook-ecb,67/
https://www.vulnhub.com/entry/pentester-lab-padding-oracle,174/
http://ad.samsclass.info/token.htm
الدرس الثاني من هنا.
الدرس الثالث شرح Target و site map.
الدرس الخامس شرح Intruder
تكملة الـ intruder والـ Payloads
في هذا الدرس نكمل قسم Intruder ونشرح Payload Character substitution و case Modification
في هذا الدرس سوف نتكلم عن الـ options في الـ Intruder
في هذا الدرس سوف نتكلم عن الـ Payload Recursive grep في الـ Intruder
في هذا الدرس سوف نتكلم عن payload illegal Unicode في الـ Intruder
في هذا الدرس سوف نتكلم عن payload Numbers
في هذا الدرس سوف نتكلم عن Payload Username Generator
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation
https://portswigger.net/blog/breaking-encrypted-data-using-burp
https://www.vulnhub.com/entry/pentester-lab-electronic-codebook-ecb,67/
https://www.vulnhub.com/entry/pentester-lab-padding-oracle,174/
http://ad.samsclass.info/token.htm