Burp Suite Extensions (Plugin) sẽ giúp chúng ta tối ưu hoá được thời gian kiểm thử và tăng khả năng phát hiện các lỗ hổng bảo mật.
Trong bài viết này chúng ta sẽ có 2 cách cài extensions đó là:
- Cài đặt Burp Suite Extensions từ BApp Store
- Cài đặt Burp Suite Extensions từ nguồn ngoài (thủ công)
Vì Extenstion có thể được viết bằng nhiều ngôn ngữ khác nhau như Python, Ruby, Java. Để những extension này có thể hoạt động được, bạn cần phải cài đặt môi trường phù hợp cho nó.
Mục lục
Cài đặt môi trường hoạt động cho Burp Suite Extensions
Bài post này sẽ hướng dẫn mọi người setup môi trường cho extensions được phát triển bằng ngôn ngữ Python, và cách làm này cũng tương tự như cách settup môi trường cho ngôn ngữ khác như Ruby, Java…
Môi trường Jython (tên gọi tắt của “Java Python“) dành cho Burp Suite là một môi trường chạy mã Python trong Burp Suite bằng cách sử dụng Jython, một phiên bản của ngôn ngữ lập trình Python được viết lại để chạy trên nền máy ảo Java (JVM). Môi trường này cho phép bạn sử dụng các mã Python để tạo các phần mở rộng và kịch bản tùy chỉnh trong Burp Suite.
Để cài đặt Jython, đầu tiên ta truy cập trang chủ của nó là https://www.jython.org/download.html và dowload Jython Standalone như hình bên dưới.
Ta nên tạo sẵn 1 folder riêng để chứa các môi trường cần thiết của Extensions được cài thủ công. Vì Burp Suite sẽ gọi thẳng đến thư mục ta lưu chữ chứa các môi trường đó, nếu trong tương lai có sự thay đổi về location của các extensions ta cũng phải cập nhât lại đường dẫn trong Burp Suite
Tại Burp Suite ta click chọn Extensions -> Extensions Settings -> Python Environment -> Và chọn đường dẫn đến thư mục Jython
Cài đặt Burp Suite Extensions từ BApp Store
Tại màn hình chính của Burp Suite ta click tab Extensions -> BApp Store. Trong hình số 1, ta thấy danh sách các extension có sẵn trên “chợ” BApp Store. Hãy sử dụng ô Input ở góc phải để tìm kiếm các Extension theo tên gọi.
Với mỗi extension, chúng ta sẽ biết được các thông tin dưới đây. Tuy nhiên hãy để ý tới số lượng đánh giá (cài đặt) từ người dùng để biết nó hữu ích. System Impact miêu tả mức độ sử dụng tài nguyên máy của mỗi extension, Low là chạy nhẹ nhàng còn High là mức tốn tái nguyên. Đối với vùng khoanh màu xanh lần lượt từ trái sang phải sẽ là :
- Tên của Extension
- Đã cài đặt hay chưa
- Số lượng đánh giá từ người dùng
- Mức độ phổ biến
- Lần gần nhất được update
- Mức độ sử dụng tài nguyên trên máy
- Được sử dụng cho phiên bản nào
Đầu tiên chúng ta cần phải khai báo môi trường cho Extension như ở đầu bài viết đã chia sẻ, cách làm này cũng tương tự với Extension được phát triển bằng Ruby
Ví dụ Extension SSL Scanner dưới đây được viết bằng Python, và tất nhiên nó sẽ đòi hỏi JPython để chạy. Điều này cũng không khác gì với Ruby hoặc Java.
Đến bước này sau khi ta tải được Jython Standalone, ta chỉ việc khai báo biến môi trường cho nó như hình dưới
Cài đặt Burp Suite Extensions từ nguồn ngoài (thủ công)
Extension được viết bằng Python
Cái hay của Burp Suite là bạn có thể sử dụng nhiều ngôn ngữ khác nhau để phát triển Extension như Java, Python hoặc Ruby. Các extension này muốn hoạt động được trên Burp Suite, bạn phải cài đặt môi trường cho nó.
Ví dụ ta cần cài Extension Autorize để phục vụ cho việc test lỗ hổng IDOR ta làm các bước như sau:
- Lên trang github tìm kiếm tên extensions đó
- Click vào phần Releases như hình miêu tả ở dưới
- Dowload file Source code.(zip)
Khi Dowload về máy và tiến hành giải nén ta sẽ có thư file .py như hình dưới miêu tả
Tại Burp Suite ta tiến hành thực hiện lần lượt như hình dưới miêu tả các bước như sau:
Ta click vào tab Extensions – > Installed – > Add – > Extension type (Python) → Extension file (.py) trỏ đến đường dẫn ta vừa giải nén ở trên
Như vậy là ta đã hoàn thành việc cài đặt extension cho Burp Suite thông qua 2 cách trên. Và quan trọng nhất là bước cài đặt môi trường cho nó, các bạn phải biết rõ Extension mình sẽ dùng nó được phát triển bằng ngôn ngữ nào để thuận tiện cho việc cài đặt.
Xin chào, thân ái, quyết thắng !
Hẹn gặp các bạn ở các bài blog khác <3
What do you think?
It is nice to know your opinion. Leave a comment.