你有聽過Burp Suite嗎?
如果沒有的話,那你現在聽過了。
甚麼?如果你沒看過的話,先露個一張圖讓你看看XD
關於Burp Suite這項工具的簡易介紹,
其實在我去年參賽的系列文冰山一角的駭客工具介紹當中就有提到,
可以參考[駭客工具 Day10] web安全測試 - Burp Suite。
但是呢,基於那個畢竟是去年的文章了,
想必還是有一些人可能不知道關於Burp Suite這項工具,
所以原本打算今天就進入實作技術內容,
後來想想還是,再偷懶個一天,讓大家先好好認識它,
就讓我們讓再一次的隆重介紹Burp Suite!
Burp Suite,或者常簡稱Burp,是一款用於web安全測試的強大工具,
這項工具是由PortSwigger Web Security開發,
使用Java所編寫開發而成,所以我們在執行之前是需要先安裝好Java環境才行的。
Burp總共有三個發行版,分別是Community/Enterprise/Professional
不同版本間的差異與價格可以參考官方網站的表格,
這個系列的教學我會使用的是Professional版的Burp,
不過大家可以使用Community相信也是完全沒問題的,只會有少少的幾項功能有差異。
那如果有安裝Kali Linux,各個版本的Kali當中都有預設安裝好Community版本的Burp。
這次會介紹Burp,是因為它是我個人相當熟悉的一套工具,
也是我很推薦覺得好用、實用的工具,
但是也必須客觀的說一下,
還是有其他類似Burp這樣的WEB Proxy安全測試工具,
譬如OWASP ZAP、Fiddler、Webscrab、Paros等等,族繁不及備載,
目前最夯的當然就是我們的主角Burp,其次的話我猜可能是OWASP ZAP,
而Paros可以算是始祖,較早用HTTP/HTTPS proxy這樣方式設計的工具,
後面許多類似的工具都是模仿Paros的思路而打造的新工具。
在這邊也是再次的跟大家強調,
Burp是一款專門設計於做Web安全測試的工具,
主要就是針對HTTP/HTTPS協定的通訊進行測試,
所以如果是對Web沒有興趣的同學們,可以先下課囉~
還有就是呢,許多的工具都是CLI的,但是Burp是一個GUI的工具,
不要被鄉土劇給騙了,還以為駭客都只會用DOS輸入ipconfig嗎 !
其實也是有一些不錯的工具像是Burp這樣都是圖形化介面的。
今年這系列主題會針對這項工具進行全面性的完整教學。
雖然一般來說Burp是只有資安相關人員才會使用到的工具,
所以似乎也不需要特別強調這是一個資安的工具,
但為了避免整個系列文章僅關注在工具操作,
變成會稍微離Security主題有些疏遠,
在每個環節中如果有與WEB或資安相關的知識和技巧,
也會稍微著墨於工具操作以外的內容,
讓大家不會是一個只會操作工具的工具人。
Burp的主要功能包含了以下:
(以下大致參考維基百科)
以上各項之後都會有更加詳細的介紹,圖文並茂的與大家一起實作!