Jako narzędzie proxy Burp Suite pozwala na proxy całego ruchu sieciowego. Domyślnie Burp proxy przesyła cały ruch do dowolnej witryny, jednak może to spowodować przechwycenie zbyt dużego ruchu przez funkcję „Przechwyć”, wyświetlając się w historii HTTP lub na mapie witryny.
Aby kontrolować, jaki ruch jest widoczny w ramach Burp, możesz dodać do zakresu witryny, które chcesz zobaczyć. Chociaż zakres domyślnie nic nie robi, możesz skonfigurować inne narzędzia, aby pominąć wszystkie wyniki, które nie są objęte zakresem.
Wskazówka: zakres nie zatrzymuje żadnego ruchu z proxy przez Burp, pozwala po prostu filtrować dane, które widzisz, lub zapobiegać ich rejestrowaniu. Możesz skonfigurować Burp tak, aby odrzucał cały ruch, który nie jest objęty zakresem, na podkarcie „Połączenia” na karcie „Opcje projektu” w obszarze Żądania „Poza zakresem”. Spowoduje to uniemożliwienie całego ruchu internetowego na komputerze innego niż wiadomości do iz witryn określonych w zakresie pakietu.
Aby dodać stronę internetową do zakresu, możesz przejść do podzakładki „Zakres” w zakładce „Cel”. Jeśli masz adres URL w schowku, możesz kliknąć "Wklej adres URL" lub ręcznie dodać adres URL, klikając "Dodaj".
Wskazówka: w rzeczywistości nie musisz wprowadzać pełnego adresu URL dla określonej witryny, w rzeczywistości konfigurujesz prefiks, dla którego będzie rejestrowany każdy pasujący ruch. Oznacza to, że możesz określić „ https://technipages” które pasowałyby do dowolnej domeny Technipages lub witryny korzystającej z „technipages” jako subdomeny, np. strony techniczne.example.com. W tym polu nie jest rozróżniana wielkość liter, ale musisz określić zarówno „HTTP”, jak i HTTPS.
Ręczne dodawanie witryn może być trochę uciążliwe, zwłaszcza jeśli masz kilka witryn do dodania. Łatwiejsze może być przeglądanie witryn internetowych, które chcesz najpierw dodać do zakresu, bez ustawionego zakresu, tak aby wyświetlały się one w dziennikach, ponieważ możesz je następnie kliknąć prawym przyciskiem myszy i dodać do zakresu pakietu. Można to zrobić klikając prawym przyciskiem myszy stronę internetową w podzakładce „Mapa strony” zakładki „Cel” lub podzakładkach „Przechwytywanie” i „Historia HTTP” zakładki „Proxy”
Gdy po raz pierwszy dodasz witrynę do zakresu, zostaniesz zapytany, czy chcesz pominąć dane z adresów URL spoza zakresu z innych narzędzi Burp, takich jak historia HTTP i mapa witryny. Nie spowoduje to ukrycia danych, które już tam są, po prostu zapobiegnie przesyłaniu nowych danych do tych narzędzi. Jeśli klikniesz "Tak", włączysz dolne ustawienie na podkarcie "Opcje" na karcie "Proxy", oznaczonej "Nie wysyłaj elementów do historii proxy ani zadań na żywo, jeśli nie obejmuje zakresu".
Jeśli chcesz nadal wylogowywać się z elementów zakresu, ale nie chcesz ich widzieć, możesz je odfiltrować, klikając filtr u góry kart podrzędnych Mapa witryny i Historia HTTP. Opcja ich odfiltrowania znajduje się w lewym górnym rogu, oznaczona „Pokaż tylko elementy w zakresie”.
Nawet jeśli "Logowanie ruchu spoza zakresu" jest włączone, ten ruch poza zakresem pojawi się na podzakładce Przechwyć w oknie "Proxy". Aby temu zapobiec, możesz zaznaczyć „I adres URL jest w zakresie docelowym” w sekcji „Przechwyć żądania klientów” w podzakładce „Opcje” na karcie „Proxy”. Jeśli przechwytujesz odpowiedzi, warto włączyć to samo ustawienie w sekcji „Przechwyć odpowiedzi klientów”.
