Nhiều anh em làm web server hay làm về mảng security thì chắc hẳn cũng đã nghe qua tới 1 phần mềm giúp chúng ta kiểm tra bảo mật Web mang tên Burp Suite rồi phải không? Hôm nay mình sẽ hướng dẫn Active Burp Suite Pro đơn giản nhất mà đảm bảo không có mã độc.
Burp Suite là gì?
Burp Suite được biết đến là một phần mềm tích hợp các tính năng trong công việc kiểm tra tính bảo mật của ứng dụng web. Các tính năng này sẽ kiểm tra và đánh giá mức độ bảo mật của các thành phần trong trang web của bạn hoặc các trang web hiện đại thời nay.
Với Burp Suite, bạn có thể sử dụng để đánh giá các tiêu chí bảo mật sau: Tiến hành kiểm tra cơ chế xác thực (Authentication), kiểm tra các vấn đề về phiên bản người dùng (Version) hay liệt kê cũng như đánh giá các tham số đầu vào của ứng dụng trang web (Input).
Burp Suite không chỉ hỗ trợ quy trình đánh giá bảo mật thủ công mà còn cung cấp các chức năng cho phép quét lỗ hổng bảo mật SSL và 1 số lỗ hổng khác. 2 phiên bản mà Burp Suite do công ty PortSwigger Ltd phân phối là bản Burp Suite Free và Burp Suite Pro (hay còn được biết tới Burp Pro). Tuy là với phiên bản miễn phí sẽ bị giới hạn các tính năng nhưng đối với phiên bản trả phí thì bạn có thể khai thác toàn bộ khả năng của Burp Suite với giá cả phải chăng.
AnonyViet đã có nhiều bài viết khá chi tiết về Burp Suite, bạn nên đọc hết để hiểu cách sử dụng nhé.
Tại sao nên dùng Burp Suite?
- Hoàn toàn miễn phí: Tuy là có 2 phiên bản tồn tại song song là bản Burp Suite Free và bàn Burp Suite Pro nhưng đối với bản free đã cho chúng ta hầu hết các chức năng cần thiết như proxy server, web spider, intruder and repeater.
- Tiện lợi: Thay vì bạn phải bật nhiều công cụ 1 lúc thì Burp Suite sẽ giúp bạn và hỗ trợ bạn trong việc kiểm tra bảo mật
- Dễ sử dụng: Với sự phát triển của Java thì Burp Suite đã có giao diện người dùng đơn giản và gọn gàng.
So sánh Burp Free và Burp Pro
Burp Free
- Kiểm tra và sửa đổi lưu lượng truy cập giữa trình duyệt và Target sử dụng Proxy
- Thu thập thông tin và chức năng của Target
- Gửi lại từng package riêng lẻ
- Nhiều tiện ích phân tích và giải mã dữ liệu
Burp Pro
- Có tất cả các chức năng của Burp Free
- Tự động scan các lỗ hổng bảo mật
- Khai thác các lỗ hổng bảo mật phức tạp
- Cho phép Lưu quá trình và tiếp tục
- Phân tích dữ liệu web
- Nhận các bản cập nhật và vá bảo mật thường xuyên
Hướng dẫn Active Burp Suite Pro
Update Burp Suite 2021.10 + Loader
(Có kèm file cài Burp Suite Pro từ PortSwigger Ltd)
Lưu ý:
- Các bạn cần cài JDK (Java Deverloper Kit) với Java để có thể cài đặt Burp Suite Pro. Bắt buộc phải có 2 cái này không thì file active không chạy nhé!
- Tải file Burp Suite Pro bản mới nhất ở đây.
Bước 1: Các bạn giải nén file Zip vừa về vào thư mục "D:\softs\Burp-Suite-main".
- Nếu bạn để ở đường dẫn khác thì nhớ chỉnh sửa lại đường dẫn ở trong file: burp.bat
- Chỉnh sửa lại tên file “burpsuite_pro_v2021.9.1.jar” theo phiên bản mới nhất bạn vừa tải.
Bước 2: Chạy file burp.bat. Sau khi chạy xong thì setup của Burp Suite sẽ hiện lên
Bước 3: Nhấn Accept
Bước 4: Chạy File keygen.jar
Bước 5: Thay đổi phần “License to <tên bất kì>”. Mình sẽ để License to Anonyviet
Bước 6: Copy phần License sang phần setup và nhấn Next
Bước 7: Các bạn chọn Manual Activation
Bước 8: Các bạn chọn Copy Request và paste vào Activation Request
Bước 9: Copy phần Activation Response và Paste vào Setup và nhấn next
Lưu ý: Nếu nó báo Activation Failed thì hãy thử lại từ bước 8
Bước 10: Nhấn Finish
Bước 11: Chạy file burp.vbs để mở Burp Suite Pro.
Bạn nhớ Click phải chuột vào file burp.vbs để chỉnh lại cho đúng đường dẫn của file burp.bat.
Vậy là mình đã hướng dẫn xong cách để setup và actuve Burp Suite Pro 1 cách đơn giản nhất. Có ai cài xong Fail liên tục không ?🤣 Hãy để lại bình luận phía bên dưới để mình có thể giải đáp cho các bạn cũng như là hỗ trợ các bạn nhé! Chúc mọi người có 1 ngày tốt lành <3
