Burp atau Burp Suite adalah seperangkat tool yang digunakan untuk pengujian penetrasi aplikasi web. Ini dikembangkan oleh perusahaan bernama Portswigger, yang juga merupakan alias pendirinya Dafydd Stuttard. BurpSuite bertujuan untuk menjadi tool yang lengkap dan kemampuannya dapat ditingkatkan dengan menginstal apps peng-enhanced yang disebut BApps.
Ini adalah tool paling populer di kalangan peneliti keamanan aplikasi web profesional dan bug bounty hunters. Kemudahan penggunaannya menjadikannya pilihan yang lebih cocok daripada alternatif gratis seperti OWASP ZAP. Burp Suite tersedia sebagai edisi komunitas yang gratis, edisi profesional dengan biaya US$399 / tahun dan edisi perusahaan dengan biaya US$3999 / Tahun. Artikel ini memberikan pengantar singkat tentang tool-tool yang ditawarkan oleh BurpSuite. Jika anda seorang yang benar-benar pemula dalam Aplikasi Web Pentest / Peretasan Aplikasi Web / Bug Bounty, kami sarankan anda hanya membaca tanpa memikirkan terlalu banyak tentang istilah-istlah yang digunakan.
Tool yang ditawarkan oleh BurpSuite adalah :
- Spider
- Proxy
- Repeater
- Sequencer
- Decoder
- Extender
- Scanner
- Referensi
- Pranala Menarik
1. Spider
spider / crawler web yang digunakan untuk memetakan aplikasi web target. Tujuan pemetaan adalah untuk mendapatkan daftar end pointsr sehingga fungsionalitasnya dapat diamati dan potensi kerentanan dapat ditemukan. Spidering dilakukan karena alasan sederhana bahwa semakin banyak titik akhir yang anda kumpulkan selama proses pengintaian, semakin banyak permukaan serangan yang anda miliki selama pengujian yang sebenarnya.
2. Proxy
BurpSuite berisi intercepting proxy yang memungkinkan pengguna melihat dan memodifikasi konten permintaan dan tanggapan saat sedang transit. Itu juga memungkinkan pengguna mengirim permintaan / tanggapan di bawah pemantauan ke tool lain yang relevan di BurpSuite, menghilangkan beban copy-paste. Server proxy dapat disesuaikan untuk dijalankan pada loop-back ip dan port tertentu. Proxy juga dapat dikonfigurasi untuk memfilter jenis pasangan request-response tertentu.
3.Intruder
Ini adalah fuzzer. Ini digunakan untuk menjalankan serangkaian masukan melalui titik input. Masukan-masukan tersebut dijalankan dan output diamati untuk keberhasilan / kegagalan dan panjang konten. Biasanya, anomali menghasilkan perubahan dalam response code atau content length dari response. BurpSuite memungkinkan brute-force, dictionary file dan single values untuk payload position-nya. Intruder digunakan untuk :
- Brute-force attacks pada password forms, pin forms, dan form seperti itu lainnya.
- The dictionary attack pada password forms, field yang di curigai vulnerable terhadap XSS atau SQL injection.
- Testing dan attacking rate limiting pada web-app.
4. Repeater
Repeater memungkinkan pengguna mengirim permintaan berulang kali dengan modifikasi manual. Ini digunakan untuk :
- Memverifikasi apakah nilai yang diberikan pengguna sedang -diverifikasi.
- Jika nilai yang diberikan pengguna sedang diverifikasi, seberapa -baik hal itu dilakukan?
- Nilai apa yang diharapkan server di input parameter/request header?
- Bagaimana server menangani nilai yang tidak terduga?
- Apakah sanitasi input diterapkan oleh server?
- Seberapa baik server membersihkan input yang diberikan pengguna?
- Apa gaya sanitasi yang digunakan oleh server?
- Di antara semua cookie yang ada, yang mana adalah cookie sesi aktual.
- Bagaimana perlindungan CSRF diterapkan dan jika ada cara untuk me-bypass-nya?
Oke sekian materi penjelasan nya
Semoga bermanfaat
Maap jika ada yg salah... Hehe
