Nhiều anh em làm web server hay làm về mảng security thì chắc hẳn cũng đã nghe qua tới 1 phần mềm giúp chúng ta kiểm tra bảo mật Web mang tên Burp Suite rồi phải không? Hôm nay mình sẽ hướng dẫn Active Burp Suite Pro đơn giản nhất mà đảm bảo không có mã độc.
Burp Suite là gì?
Burp Suite được biết đến là một phần mềm tích hợp các tính năng trong công việc kiểm tra tính bảo mật của ứng dụng web. Các tính năng này sẽ kiểm tra và đánh giá mức độ bảo mật của các thành phần trong trang web của bạn hoặc các trang web hiện đại thời nay.
Với Burp Suite, bạn có thể sử dụng để đánh giá các tiêu chí bảo mật sau: Tiến hành kiểm tra cơ chế xác thực (Authentication), kiểm tra các vấn đề về phiên bản người dùng (Version) hay liệt kê cũng như đánh giá các tham số đầu vào của ứng dụng trang web (Input).
Burp Suite không chỉ hỗ trợ quy trình đánh giá bảo mật thủ công mà còn cung cấp các chức năng cho phép quét lỗ hổng bảo mật SSL và 1 số lỗ hổng khác. 2 phiên bản mà Burp Suite do công ty PortSwigger Ltd phân phối là bản Burp Suite Free và Burp Suite Pro (hay còn được biết tới Burp Pro). Tuy là với phiên bản miễn phí sẽ bị giới hạn các tính năng nhưng đối với phiên bản trả phí thì bạn có thể khai thác toàn bộ khả năng của Burp Suite với giá cả phải chăng.
AnonyViet đã có nhiều bài viết khá chi tiết về Burp Suite, bạn nên đọc hết để hiểu cách sử dụng nhé.
Tại sao nên dùng Burp Suite?
- Hoàn toàn miễn phí: Tuy là có 2 phiên bản tồn tại song song là bản Burp Suite Free và bàn Burp Suite Pro nhưng đối với bản free đã cho chúng ta hầu hết các chức năng cần thiết như proxy server, web spider, intruder and repeater.
- Tiện lợi: Thay vì bạn phải bật nhiều công cụ 1 lúc thì Burp Suite sẽ giúp bạn và hỗ trợ bạn trong việc kiểm tra bảo mật
- Dễ sử dụng: Với sự phát triển của Java thì Burp Suite đã có giao diện người dùng đơn giản và gọn gàng.
So sánh Burp Free và Burp Pro
Burp Free
- Kiểm tra và sửa đổi lưu lượng truy cập giữa trình duyệt và Target sử dụng Proxy
- Thu thập thông tin và chức năng của Target
- Gửi lại từng package riêng lẻ
- Nhiều tiện ích phân tích và giải mã dữ liệu
Burp Pro
- Có tất cả các chức năng của Burp Free
- Tự động scan các lỗ hổng bảo mật
- Khai thác các lỗ hổng bảo mật phức tạp
- Cho phép Lưu quá trình và tiếp tục
- Phân tích dữ liệu web
- Nhận các bản cập nhật và vá bảo mật thường xuyên
Hướng dẫn Active Burp Suite Pro 2022
Hiện nay bản mới nhất là Burp Suite 2022.3.9, mình đã đóng gói thành File nén tất cả các các công cụ để Active License cho Burp Suite Pro trong link bên dưới, các bạn cần làm theo các bước dưới đây:
(Có kèm file cài Burp Suite Pro từ PortSwigger Ltd)
Lưu ý nếu muốn tự tải thì bạn tải ở đây:
- Các bạn cần cài JDK (Java Deverloper Kit) và Java để có thể cài đặt Burp Suite Pro. Bắt buộc phải có 2 cái này không thì file active không chạy nhé!
- Tải file Burp Suite Pro bản mới nhất ở đây.
Active Burp Suite mới nhất:
- Vào thư mục Setup Java, cài đặt 2 file bên trong đó.
- Mở file burploader.jar để Get Key
- Mở file burp.bat để chạy Burp Suite
Xem chi tiết hình bên dưới:
Bước 1: Các bạn giải nén file Zip vừa về vào thư mục
Bước 2: Chạy file burp.bat. Sau khi chạy xong thì setup của Burp Suite sẽ hiện lên
Bước 3: Nhấn Accept
Bước 4: Chạy File burploader.jar
Bước 5: Thay đổi phần “License to <tên bất kì>”. Mình sẽ để License to Anonyviet
Bước 6: Copy phần License sang phần setup và nhấn Next
Bước 7: Các bạn chọn Manual Activation
Bước 8: Các bạn chọn Copy Request và paste vào Activation Request
Bước 9: Copy phần Activation Response và Paste vào Setup và nhấn next
Lưu ý: Nếu nó báo Activation Failed thì hãy thử lại từ bước 8
Bước 10: Nhấn Finish
Bước 11: Chạy file burp.vbs để mở Burp Suite Pro.
Bạn nhớ Click phải chuột vào file burp.vbs để chỉnh lại cho đúng đường dẫn của file burp.bat.
Cách fix lỗi to run burp suite using java 17+ please supply the following jvm argument
Đối với những bản Burp Suite mới mặc dù đã cài Java 17, Java 18 nhưng vẫn bị lỗi “run burp suite using java 17+ please supply the following jvm argument”, bạn thực hiện như sau:
Bước 1: Mở thư mục có file Burpsite và File Loader
Bước 2: Mở CMD ở thư mục trên và gõ lệnh:
Thay đổi burploader.jar và burpsuite_pro_v2022.3.9.jar đúng với tên file trong thư mục
java -noverify -javaagent:burploader.jar -jar --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.desktop/javax.swing=ALL-UNNAMED burpsuite_pro_v2022.3.9.jar
Hoặc tạo file start.bat với nội dung bên dưới, rồi chạy file start.bat là được.
java -noverify -javaagent:burploader.jar -jar --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.desktop/javax.swing=ALL-UNNAMED burpsuite_pro_v2022.3.9.jar
Vậy là mình đã hướng dẫn xong cách để setup và actuve Burp Suite Pro 1 cách đơn giản nhất. Có ai cài xong Fail liên tục không ?
Hãy để lại bình luận phía bên dưới để mình có thể giải đáp cho các bạn cũng như là hỗ trợ các bạn nhé! Chúc mọi người có 1 ngày tốt lành <3