Jest to pierwsza część naszego krótkiego szkolenia z narzędzia Burp Suite Community, które udostępniamy w sieci. Jeżeli preferujesz je w formie videotutoriala, tę i inne części znajdziesz na naszym kanale na Youtube.
Część I: Wersja tekstowa Youtube
Część II: Wersja tekstowa Youtube
Artykuł ten odpowiada pierwszej części szkolenia, natomiast pozostałe 5 części zostaną opublikowane w najbliższych tygodniach.
Po co i dla kogo ten program?
Burp Suite Community to darmowa wersja najpopularniejszego programu używanego przez pentesterów do testowania aplikacji webowych czyli Burp Suite Pro. Działa on na zasadzie Proxy – czyli pośrednika między Twoją przeglądarką a docelową stroną www. Dzięki temu, cały ruch sieciowy HTTP przesyłany jest przez Burp Suite, co pozwala na jego podgląd i dowolne modyfikacje.
Czy darmowa wersja jest funkcjonalna?
„To zależy” 🙂 Główną bolączką darmowej wersji jest:
- brak możliwości zapisu postępu w formie projektu, aby wrócić do niego później – po wyłączeniu programu tracimy to, co w nim mieliśmy wypracowane
- brak Extendera – czyli możliwości instalowania różnego rodzaju wtyczek, które znacząco poszerzają funkcjonalność programu
- Brak „Active scanu” – czyli funkcjonalności automatycznego wykrywania podatności
Jednak, jeżeli zaczynasz dopiero swoją przygodę z testowaniem aplikacji www lub potrzebujesz korzystać z Burp’a doraźnie, np. w celach diagnostycznych – to najpewniej wersja darmowa i tak będzie dla Ciebie wystarczająca.
Instalacja – czy muszę mieć Linuxa?
Aby pobrać i zainstalować Burp Suite Community, należy udać się na stronę producenta, czyli firmy PortSwigger i pobrać najnowszą wersję.
Mamy do wyboru trzy instalatory i program w formie archiwum .JAR
Odpowiadając na pytanie – nie musisz mieć Linuxa, możesz korzystać z Burp’a także na MacOS, Windowsie, lub czymkolwiek z zainstalowaną Javą (JAR). Wszystkie instalatory wymagają tylko „przeklikania”, natomiast aby odpalić archiwum .JAR korzystamy z polecenia (w command line)
java -jar ścieżka/do/burpsuite.jar
W następnej części przyjrzymy się pierwszej konfiguracji programu Burp Suite Community.