Giới thiệu phần mềm Burp Suite Pro 2021
PortSwigger Web Security là công ty dẫn đầu toàn cầu trong việc tạo ra các công cụ phần mềm để kiểm tra bảo mật của các ứng dụng web. Phần mềm (Burp Suite) được thiết lập tốt như bộ công cụ tiêu chuẩn trên thực tế được sử dụng bởi các chuyên gia bảo mật web. Burp Suite được sử dụng bởi hơn 47.000 cá nhân tại 12.500 tổ chức, tại hơn 140 quốc gia. Được sử dụng trong hầu hết các lĩnh vực công nghiệp, trong các tổ chức lớn và nhỏ.
Burp Suite Professional là một bộ công cụ nâng cao để tìm và khai thác các lỗ hổng trong các ứng dụng web – tất cả đều nằm trong một sản phẩm duy nhất. Từ một proxy chặn cơ bản đến một máy quét lỗ hổng bảo mật tiên tiến. Burp Suite có thể được sử dụng để kiểm tra và báo cáo về một số lượng lớn các lỗ hổng bảo mật bao gồm SQLi, XSS và toàn bộ OWASP top 10. PortSwigger đi tiên phong trong thử nghiệm bảo mật ngoài băng tần (OAST) và máy quét Burp là sản phẩm đầu tiên cung cấp OAST -of-the-box với cấu hình bằng không và để áp dụng nó cho nhiều loại lỗ hổng bảo mật.
Burp Suite Enterprise Edition cho phép các doanh nghiệp bảo mật toàn bộ danh mục web của họ bằng cách quét đơn giản, có thể mở rộng, sử dụng cùng một công nghệ máy quét Burp tiên tiến. Phiên bản Enterprise thực hiện quét định kỳ, theo lịch trên hàng nghìn ứng dụng, với bảng điều khiển báo cáo trực quan, kiểm soát truy cập dựa trên vai trò và báo cáo quét. Nó có thể cung cấp tích hợp sẵn có với các plugin CI được tạo sẵn, hỗ trợ Jira bản địa và API phong phú để cho phép tích hợp bảo mật vào các quy trình phát triển phần mềm hiện có.
Link download Burp Suite Pro 2021 – ONEDRIVE full băng thông cực nhanh
Tải Burp Suite Pro 2021
Hướng dẫn cài đặt phần mềm Burp Suite Pro 2021
Bước 1: Tải phần mềm về theo link trên
Bước 2: Giải nén phần mềm và xem file hướng dẫn cài đặt chi tiết được đính kèm
Bước 3: Sử dụng phần mềm đã được active miễn phí
Video hướng dẫn chi tiết
(đang cập nhật)
Yêu cầu hệ thống:
- Hệ điều hành tương thích: Windows 7/8 / 8.1 / 10
- Yêu cầu bộ nhớ (RAM): 1 GB RAM là bắt buộc.
- Dung lượng đĩa cứng cần thiết: Cần 700 MB dung lượng đĩa cứng trống.
- Bộ xử lý: Bộ xử lý Intel Dual Core trở lên
Phần mềm bổ trợ có thể bạn quan tâm
Tính năng nổi bật của Burp Suite Pro 2021
Project files
Có vẻ hơi kỳ lạ khi dẫn đầu bài viết này với chức năng “lưu” của Burp Suite, nhưng hãy lắng nghe chúng tôi. Các tệp dự án Burp Suite Professional hữu ích hơn những gì bạn có thể nhận ra ngay từ cái nhìn đầu tiên.
Các tệp dự án có khả năng lưu mọi thứ bạn làm trong Burp Suite Professional theo đúng nghĩa đen khi đang tham gia. Bạn thậm chí không cần phải nhấp vào “lưu” trước khi thoát. Ok – tuyệt – nhưng điều đó có gì thú vị?
Trước hết, điều hiển nhiên. Các tệp dự án giúp bạn yên tâm rằng bạn sẽ không bị mất một đống công việc kiểm tra khẩn cấp vì một số vấn đề kỹ thuật kỳ lạ. Việc lưu dữ liệu của bạn cũng giúp cho việc viết báo cáo đáng sợ trở nên dễ dàng hơn rất nhiều.
Hơn nữa, như chúng ta đều biết, trở thành một pentester thường có nghĩa là phải giải quyết các yêu cầu của khách hàng. Hãy hình dung ra cảnh này, nếu bạn sẽ:
Thực ra, với các tệp dự án Burp Suite Professional, bạn sẽ làm được.
Burp Intruder tốc độ cao
Bất cứ khi nào chúng tôi nói chuyện với khách hàng về Burp Suite Professional, bạn có thể khá chắc chắn rằng Burp Intruder sẽ được gắn cờ là một công cụ yêu thích. Đó là một tác phẩm cổ điển thực sự; chỉ cần chọn (các) điểm chèn mà bạn muốn tấn công, chọn kiểu tấn công và định cấu hình danh sách các trọng tải để thả. Sau đó, sử dụng các công cụ lọc của Intruder để thu thập dữ liệu hữu ích từ các phản hồi của bạn.
Cách tiếp cận này cực kỳ linh hoạt. Cho dù bạn đang làm điều gì đó đơn giản như đoán thô bạo các mục nhập thư mục web, hay tìm kiếm thứ gì đó phức tạp hơn – chẳng hạn như blind SQL injection – Burp Intruder sẽ giúp bạn.
Intruder chạy nhanh – có nghĩa là nó có thể tạo ra nhiều dữ liệu. Do đó, chúng tôi đã đưa vào các tính năng để giúp người dùng tìm thấy những câu trả lời thú vị dễ dàng nhất có thể, chức năng extract grep chẳng hạn. Sau khi được thiết lập, Intruder sẽ lấy ra bất cứ thứ gì bạn đang tìm kiếm và sắp xếp nó độc đáo cho bạn trong các cột có thể sắp xếp.
Tiện ích mở rộng BApp miễn phí
Với Burp Suite Professional, mục đích của chúng tôi là giúp người dùng hoàn thiện quy trình kiểm tra bảo mật của họ – nâng cao cả tốc độ và độ tin cậy. Nhưng dồn nén là một môn học rất lớn, với nhiều lĩnh vực chuyên biệt. Nhập: BApp Store – chứa hơn 250 tiện ích mở rộng Burp Suite được quản lý miễn phí có nguồn gốc từ cộng đồng người dùng khổng lồ của Burp – bao gồm cả chính các nhà nghiên cứu của PortSwigger.
Nhiều BApp chỉ dành riêng cho Burp Suite Professional. Chúng bao gồm các mục yêu thích của người dùng lâu năm như Backslash Powered Scanner (tuyệt vời để tìm các lỗ hổng tiêm phía máy chủ ) và Param Miner (tìm các thông số ẩn, không được liên kết và rất tuyệt vời để tìm kiếm nhiễm độc bộ nhớ cache trên weblỗ hổng) – cũng như các tiện ích mở rộng tình huống khác như Detect Dynamic JS và NGINX Alias Traversal .
Chức năng tìm kiếm
Một trong những tính năng bổ sung hữu ích khác của Burp Suite Professional so với Community Edition là chức năng tìm kiếm của nó. Như tên cho thấy, điều này cho phép bạn nhanh chóng tìm kiếm mọi thứ bạn đang mở trong Burp Suite để tham khảo cụ thể. Bạn có thể thu hẹp trọng tâm của mình vào các công cụ Burp cụ thể, tìm kiếm bằng regex, tự động cập nhật tìm kiếm và hơn thế nữa.
Mặc dù điều này nghe có vẻ như là một tính năng hiển nhiên, nhưng chúng tôi đã mất số lần nó tiết kiệm thời gian cho chúng tôi trong quá trình thử nghiệm. Sử dụng nó để nhanh chóng tìm kiếm các vấn đề không liên tục, nội dung nhạy cảm hoặc những nơi mà thông tin đầu vào cụ thể của riêng bạn xuất hiện lại.
Cụ thể hơn, một ví dụ tuyệt vời về sức mạnh của tìm kiếm trong Burp Suite Professional xuất hiện khi kiểm tra khả năng giả mạo yêu cầu phía máy chủ (SSRF)và cần tìm một địa chỉ IP nội bộ hoặc tên máy chủ để tạo ra một khai thác thành công. Khả năng tìm kiếm nhanh chóng ở mọi nơi trong Burp Suite Pro là tuyệt vời cho điều này và có thể giúp bạn tiết kiệm rất nhiều thời gian khi tham gia.
Burp Collaborator client
Hầu hết những người thử nghiệm đều biết rằng PortSwigger đã đi tiên phong trong thử nghiệm OAST tự động khi chúng tôi phát hành Burp Collaborator. Điều này làm cho Burp Scanner có khả năng thực hiện phương pháp kiểm tra OAST (trước đây là phức tạp nhưng cực kỳ đáng tin cậy) một cách nhanh chóng và chỉ bằng một nút bấm.
Nhưng bạn có biết rằng Burp Suite Professional cũng làm cho OAST thủ công dễ tiếp cận hơn rất nhiều không? Ứng dụng khách Burp Collaborator là công cụ cho việc này – và giúp cho việc tìm kiếm toàn bộ các lỗ hổng nâng cao trở nên dễ dàng hơn nhiều.
Sử dụng máy chủ công cộng của Burp Collaborator để yêu cầu Burp Suite Professional kiểm tra các tương tác nguy hiểm ngay lập tức hoặc triển khai máy chủ Cộng tác viên riêng của bạn. Dù bằng cách nào, ứng dụng khách Burp Collaborator giúp kiểm tra OAST thủ công nhanh chóng và dễ dàng hơn nhiều.
Content discovery
Tính năng khám phá nội dung là một ví dụ tuyệt vời khác về cách tự động hóa của Burp Suite Professional có thể giúp tăng tốc và cải thiện quá trình kiểm tra thủ công của bạn. Tính năng này có thể tự động khám phá nội dung và chức năng không được liên kết từ bất kỳ nơi nào có thể nhìn thấy trong ứng dụng – ghi nhật ký các vị trí này để tìm hiểu thêm.
Để bắt đầu khám phá nội dung, chỉ cần chọn một yêu cầu trong sơ đồ trang của Burp Suite Professional, nhấp chuột phải và chọn “công cụ tương tác”, sau đó là “khám phá nội dung”. Sau đó, phần mềm sẽ sử dụng một loạt các kỹ thuật tự động để tìm kiếm những thứ bạn có thể quan tâm.
Các kỹ thuật được áp dụng bao gồm đoán tên, thu thập thông tin web và ngoại suy từ các quy ước đặt tên được quan sát ở những nơi khác trong ứng dụng. Và tất nhiên, là một phần của Burp Suite Professional, tính năng này hoàn toàn có thể điều chỉnh – cho phép bạn điều chỉnh nó cho phù hợp với các đặc điểm của ứng dụng mục tiêu của mình.
Burp Scanner
Burp Scanner là một trong những tính năng tiêu đề của Burp Suite Professional – vì vậy có lẽ hơi ngạc nhiên khi chúng tôi đề cập đến nó ở đây. Nhưng với Burp Suite Professional, bạn có thể sử dụng máy quét nhiều hơn là chỉ chạy quét tự động toàn bộ ứng dụng mục tiêu.
Trên thực tế, nghe có vẻ trái ngược với trực giác, Burp Scanner chứa một số tính năng có thể tạo chỗ đứng cho những người thử nghiệm thủ công. Điều này có thể cải thiện độ sâu của thử nghiệm, giúp bạn không bị nhàm chán và giúp bạn có thêm thời gian để điều tra các loại công việc mà bạn thực sự yêu thích.
Hãy tưởng tượng bạn đang xem xét thủ công một loạt các yêu cầu HTTP và bạn bắt gặp một thứ mà bạn nghĩ là có thể khai thác được. Bạn có biết rằng bạn có thể thực hiện Quét Burp chỉ với một yêu cầu đó không? Chỉ cần nhấp chuột phải vào yêu cầu và nhấp vào “Thực hiện quét tích cực”, để kích hoạt quét Burp tập trung.
Kết hợp kỹ thuật trên với Burp Intruder để phóng to hơn nữa. Nhấp chuột phải vào một yêu cầu, gửi nó đến Intruder và thêm các điểm chèn vào các vị trí mong muốn của bạn theo cách thủ công. Sau đó nhấp chuột phải vào yêu cầu và chọn “Quét các điểm chèn đã xác định”. Bởi vì kỹ thuật này giới hạn số lượng yêu cầu được thực hiện bởi Burp Scanner, nó có thể mang lại kết quả cho bạn chơi cực kỳ nhanh chóng.
Bạn vẫn muốn đi xa hơn? Lấy Logger ++ từ BApp Store miễn phívà xem phản hồi của máy chủ mục tiêu của bạn đối với tải trọng của Burp Scanner. Đây là một cách tuyệt vời để theo dõi những hành vi thú vị mà bạn có thể khai thác.
Nguồn tham khảo: https://portswigger.net/blog/7-burp-suite-professional-exclusive-features-to-help-you-test-smarter
Cảm ơn các bạn đã tải phần mềm, đăng ký kênh WikiGiaiDap.com để nhận được nhiều bản tin công nghệ, phần mềm mới nhất nhé.