Burp Suite-ის ძირითადი მიზანია ვებ ტრაფიკის ჩარევა და შეცვლა, როგორც შეღწევადობის ტესტის ნაწილი. იმისათვის, რომ შეძლოთ ვებ ტრაფიკის ჩარევა, თქვენ უნდა დააკონფიგურიროთ თქვენი ბრაუზერი ან ოპერაციული სისტემა, რათა გადამისამართოთ ტრაფიკი Burp პროქსის მეშვეობით. ნაგულისხმევად, პროქსი იწყება Burp-ით და უკავშირდება loopback მისამართს 8080 პორტზე „127.0.0.1:8080“, მაგრამ უამრავი ვარიანტია თქვენთვის კონფიგურაციისთვის.
როგორ დააკონფიგურიროთ პროქსი მსმენელი Burp-ში
პროქსის პარამეტრების კონფიგურაციისთვის, გსურთ გადახვიდეთ "პარამეტრები" ქვეჩანართზე "პროქსი" ჩანართში. განყოფილებაში „პროქსი მსმენელები“ შეგიძლიათ შეცვალოთ მიმდინარე პროქსი მსმენელი მსმენელის არჩევით და „რედაქტირება“ დაწკაპუნებით, ან დააყენოთ მეორე „დამატება“ დაწკაპუნებით.
რჩევა: იმისთვის, რომ პროქსი მსმენელს ფუნქციონირებდეს, მარცხენა მხარეს უნდა ჰქონდეს მონიშნული ველი „გაშვებული“.
მარიონეტული მსმენელის რედაქტირებისას, ჩანართი „Binding“ საშუალებას გაძლევთ დააკონფიგურიროთ რომელი პორტის ნომერი და რომელ ინტერფეისს უკავშირდება იგი სავალდებულო ჩანართში. თქვენ უნდა გამოიყენოთ პორტის ნომერი, რომელიც უნდა იყოს 1001-დან 65535-მდე, რადგან პორტის ნომრებს 1000-ზე ნაკლები შეიძლება მოითხოვონ დამატებითი ნებართვები.
Loopback მისამართის დაკავშირება ნიშნავს, რომ პროქსი ხელმისაწვდომია მხოლოდ ადგილობრივი კომპიუტერისთვის. ალტერნატიულად, შეგიძლიათ დააკავშიროთ ის სხვა IP მისამართს, რომელსაც აქვს თქვენი კომპიუტერი ჩამოსაშლელი ველის მეშვეობით, თუმცა არ აგიხსნით რა ფიზიკურ ინტერფეისს ეხება ეს და შეძლებენ თუ არა მასზე წვდომა სხვა მოწყობილობებს. „ყველა ინტერფეისის“ არჩევა გახდის პროქსი ხილულს თქვენს კომპიუტერის ყველა IP მისამართზე.
მინიშნება: Loopback-ის გარდა IP მისამართების გამოყენება საშუალებას მოგცემთ დააკონფიგურიროთ სხვა მოწყობილობები, რათა მოახდინოს მათი ტრაფიკის პროქსი თქვენი Burp ინსტანციის მეშვეობით. გახსოვდეთ, რომ თქვენ უნდა დააინსტალიროთ Burp სერთიფიკატი ამ მოწყობილობებზე მათი HTTPS ტრაფიკის მონიტორინგისთვის. გთხოვთ, გაითვალისწინოთ, რომ გჭირდებათ მოწყობილობის მფლობელის ნებართვა, რომ ლეგალურად შეძლოთ ამის გაკეთება და ნებისმიერი მომხმარებლებმა უნდა იცოდნენ, რომ თქვენ აკონტროლებთ მათ ქსელის გამოყენებას და შეძლებთ ნახონ მათი პაროლები და ა.შ.
სხვა პროქსიები, მორგებული სერთიფიკატები და TLS პროტოკოლები
ჩანართი „მოთხოვნის დამუშავება“ საშუალებას გაძლევთ დააკონფიგურიროთ ჰოსტის და პორტის ნომერი, სადაც ყველა მოთხოვნა გადამისამართდება მითითებულ ადგილას, მიუხედავად იმისა, თუ რა რესურსი მოითხოვეს. ეს პარამეტრი გამოიყენება ტრაფიკის გადამისამართებისთვის სხვა პროქსის მეშვეობით.
„Force TLS“ ავტომატურად განაახლებს ყველა ვებ მოთხოვნას HTTPS-ის გამოსაყენებლად. ამ პარამეტრს შეუძლია დაარღვიოს ზოგიერთი ვებსაიტი, თუ ისინი არ უჭერენ მხარს HTTPS. „უხილავი პროქსი“ უზრუნველყოფს მოწყობილობების მხარდაჭერას, რომლებსაც არ აქვთ ტრადიციული პროქსი პარამეტრების მხარდაჭერა.
ჩანართი „სერთიფიკატი“ საშუალებას გაძლევთ დააკონფიგურიროთ როგორ მუშაობს HTTPS სერტიფიკატი. „CA-ს ხელმოწერილი სერთიფიკატების გენერირება“ არის ნაგულისხმევი პარამეტრი და ჩვეულებრივ უნდა იქნას გამოყენებული. „თვითხელმოწერილი“ სერთიფიკატები ყოველთვის წარმოქმნის სერტიფიკატის შეცდომის შეტყობინებებს. „სპეციფიკური ჰოსტის სახელის“ მითითება სასარგებლოა მხოლოდ ერთ დომენზე უხილავი პროქსის შესრულებისას. თუ საჭიროა კონკრეტული სერთიფიკატი, შეგიძლიათ მისი იმპორტი „საბაჟო სერტიფიკატის“ ოფციით.
„TLS პროტოკოლების“ ჩანართი გაძლევთ საშუალებას მიუთითოთ რომელი TLS პროტოკოლები გსურთ, რომ Burp-ს მხარი დაუჭიროს. ნაგულისხმევად, TLSv1-1.3 მხარდაჭერილია. თქვენ შეგიძლიათ აირჩიოთ რომელიმე ამ პარამეტრის გამორთვა ან ჩართოთ SSLv2 ან SSLv3, თუ ხელით მიუთითებთ პროტოკოლებს. ეს უნდა იქნას გამოყენებული მხოლოდ იმ შემთხვევაში, თუ გსურთ კონკრეტულად შეამოწმოთ ერთი პროტოკოლი ან ვერ დაუკავშირდით ძველ მოწყობილობას.
