Selamat datang di blog kedua dari perjalanan kami dalam pengujian keamanan aplikasi web dengan Burp Suite. Dalam blog ini, "Burp Suite 101 - Menjelajahi Dasar-dasar," kita akan menyelami aspek-aspek fundamental dari Burp Suite. Mari kita mulai.

Empat topik penting:

1. Dasbor Burp: Pintu gerbang Anda ke semua hal terkait Burp Suite.
2. Memulai dengan Burp: Pelajari dasarnya, termasuk pengaturan, navigasi.
3. Proyek Burp: Mengatur dan mengelola upaya pengujian Anda.
4. Konfigurasi Burp: Menyiapkan lingkungan Anda untuk kinerja optimal.

Dasbor

Ketika Anda memulai Burp, jendela pertama yang Anda lihat adalah dasbor. Dasbor utama Burp dibagi menjadi empat kuadran.

1. Tugas:

Semua tugas otomatis yang aktif, ditunda, atau selesai terdaftar dalam panel Tugas Dasbor Burp Suite. Tugas dapat digunakan untuk berbagai aktivitas, termasuk:

• Memeriksa kerentanan dalam situs web dan aplikasi web
• Mencari situs web untuk konten baru
• Membuat dan menguji serangan - Mengotomatisasi tugas pengujian keamanan rutin - Memantau dan mengubah lalu lintas HTTP

Beberapa tugas yang dapat Anda buat adalah:

• Tugas audit langsung memindai permintaan untuk kerentanan saat mereka disadap oleh proxy Burp Suite.
• Tugas crawling pasif langsung menambahkan sumber daya baru ke peta situs Target Burp Suite saat mereka ditemukan.
• Tugas Pemindai memindai situs web atau aplikasi web untuk kerentanan menggunakan Pemindai Burp Suite.

2. Catatan peristiwa:

Catatan peristiwa Dasbor Burp Suite berisi catatan setiap peristiwa penting yang terjadi saat tugas sedang dilakukan. Ini mencakup kejadian seperti:

• Waktu mulai dan selesai untuk tugas
• Pemberitahuan yang dihasilkan oleh alat lain dan pemindai
• Pembaruan tentang kemajuan
• Kesalahan dan peringatan

3. Aktivitas Isu

Tabel yang mencantumkan setiap isu yang ditemukan oleh Burp Suite disebut "aktivitas isu" dan dapat ditemukan di Dasbor Burp Suite. Ini mencakup masalah yang ditemukan oleh alat Pemindai, Penyerang, dan Penyusun.

Untuk setiap isu, detail berikut termasuk dalam tabel aktivitas isu:

• Keparahan: Ukuran keseriusan masalah, dari Rendah hingga Tinggi.
• Keyakinan: Skala dari Rendah hingga Tinggi yang mewakili tingkat keyakinan Burp Suite dalam hasil.
• Tipe: Jenis masalah dari masalah tersebut, seperti Injeksi SQL atau Cross-Site Scripting (XSS).
• Deskripsi singkat masalah tersebut.
• Lokasi: Lokasi tepat masalah tersebut, seperti URL permintaan atau alamat IP.

Ini adalah fitur premium yang tidak tersedia dalam edisi komunitas Burp.

4. Penasihat

Informasi lebih lanjut tentang kerentanan yang telah ditemukan, termasuk referensi dan perbaikan yang mungkin, disediakan dalam bagian penasihat. Laporan yang berisi informasi ini dapat diekspor. Bagian ini dari Burp Suite Community mungkin tidak menunjukkan kerentanan apa pun.

Navigasi

Di Burp Suite, kami menavigasi melalui bilah menu atas, yang memungkinkan kami beralih antara modul dan mengakses berbagai sub-tab dalam setiap modul.

Modul

Modul dalam arti dasar adalah beberapa fitur dasar seperti pengulang, penyerang, pemindai, dan lain-lain.

Anda dapat memilih modul-modul ini dengan mengkliknya.

Sub-tab

Setiap modul memiliki beberapa sub-tab, yang akan diakses saat modul dipilih, Singkatnya, mereka berisi berbagai opsi yang spesifik untuk modul tersebut.

Contoh:

Dalam tangkapan layar, kita dapat melihat berbagai opsi yang khusus untuk modul proxy.

Pintasan untuk navigasi ke modul yang berbeda

1. Ctrl+T Toggle Proxy interception
2. Ctrl+Shift+T Switch to Target
3. Ctrl+Shift+P Switch to Proxy
4. Ctrl+Shift+S Switch to Scanner
5. Ctrl+Shift+I Switch to Intruder

{Additional} Detaching

Jika Anda ingin menggunakan modul dalam satu layar penuh, maka Anda dapat melepaskan dan menggunakan jendela terpisah juga! Untuk melakukan ini, Anda hanya perlu mengklik kanan pada modul burp yang ingin Anda lepaskan dan kemudian jendela popup terbuka -> klik deattach kemudian.

Dalam contoh ini, Anda dapat melihat bahwa itu telah dilepaskan.

Proyek Burp {Premium}

Proyek Burp Suite adalah file yang menyimpan semua data dan pengaturan konfigurasi untuk proyek pengujian keamanan tertentu. Ini termasuk hal-hal seperti aplikasi sasaran, alat, dan pengaturan yang digunakan untuk menguji aplikasi, dan hasil tes.

Ini memungkinkan Anda mencapai:

• Kemampuan untuk menyimpan dan memuat semua data dan pengaturan konfigurasi untuk proyek pengujian keamanan tertentu.
• Kemampuan untuk mengorganisir pekerjaan Anda dan membuatnya lebih mudah untuk melanjutkan pengujian dari tempat terakhir.
• Kemampuan untuk berbagi pekerjaan Anda dengan orang lain, seperti pengujian keamanan lainnya atau pengembang.

Untuk membuat proyek baru

Buka Burp Suite.

Pergi ke File > Proyek baru.

Masukkan nama untuk proyek Anda dan pilih lokasi untuk menyimpan file proyek.

Klik Selanjutnya.

Pilih konfigurasi untuk proyek Anda. Anda dapat menggunakan konfigurasi default, menggunakan pengaturan dari proyek sebelumnya, atau memuat file konfigurasi.

Klik Selanjutnya.

Ulas pengaturan proyek dan buat perubahan yang diperlukan.

Klik Selesai.

Proyek sementara di Burp Suite adalah proyek yang tidak disimpan ke file disk. Semua data untuk proyek tersebut disimpan dalam memori, dan hilang ketika Anda menutup Burp Suite

Proyek sementara dapat berguna untuk tugas-tugas cepat di mana Anda tidak perlu menyimpan pekerjaan Anda.

Di komunitas burp, karena Anda tidak bisa menyimpan proyek, jadi setiap kali Anda bekerja Anda bekerja pada proyek sementara.

Pengaturan/Konfigurasi Burp

Di burp, ada dua jenis pengaturan

• Pengaturan global: Pengaturan ini selalu berlaku untuk semua proyek yang ada sementara.
• Pengaturan proyek: Pengaturan ini khusus untuk proyek saat ini dan hanya berlaku selama sesi.

Pengaturan

Untuk melihat pengaturan, Anda hanya perlu mengklik kanan pada bilah menu atas.

Dan kemudian Anda akan didekati dengan seluruh menu pengaturan.

Dari sini, Anda dapat mengubah setiap pengaturan bahkan pengaturan yang spesifik untuk modul.

Menu dapat ditemukan di sisi kiri jendela Pengaturan. Anda dapat beralih antara beberapa pengaturan dengan menu ini, termasuk:

• Pencarian: Memungkinkan Anda menggunakan kata kunci untuk mencari pengaturan tertentu.
• Filter Tipe: Memfilter pengaturan untuk cakupan global dan lokal.
• Kategori: Memungkinkan memilih pengaturan berdasarkan kategori.

Panduan singkat untuk mengubah tampilan burp/mengubah tema menjadi gelap

• Pergi ke pengaturan
• Ketik tema dalam kotak pencarian
• klik pada tema gelap

Untuk mengelola pengaturan untuk cakupan global atau cakupan proyek, klik Kelola pengaturan global, kemudian setelah itu Anda dapat memilih untuk melakukannya.

Kesimpulan

Selamat atas penyelesaian "Burp Suite 101: Menjelajahi Dasar-dasar." Sekarang Anda memiliki dasar yang kokoh untuk bekerja dengan alat pengujian keamanan aplikasi web yang penting ini.