Để nhớ rằng Burp Suite là một bộ phần mềm toàn diện – lý do mà chuỗi bài học lại được chia thành bốn phần chỉ để bao quát các kiến thức cơ bản, hãy lưu ý rằng suite này tích hợp nhiều công cụ hoạt động liên kết chặt chẽ với proxy quen thuộc. Những công cụ này giúp đơn giản hóa việc kiểm thử các khía cạnh đa dạng của ứng dụng web, mang lại hiệu quả vượt trội cho quá trình đánh giá bảo mật.
Trong bài hướng dẫn này, chúng tôi không đi sâu vào chi tiết từng công cụ mà chỉ tập trung vào những công cụ được sử dụng phổ biến nhất nhằm mang đến cho bạn một cái nhìn thực tiễn và toàn diện. Lưu ý rằng, một số công cụ chỉ khả dụng trong phiên bản trả phí trong khi những công cụ khác không xuất hiện quá thường xuyên.
Tất cả các công cụ này được sắp xếp ở hàng tab trên cùng của Burp Suite, kèm theo các menu phụ và tab hỗ trợ tương tự như proxy. Hãy tự do khám phá giao diện trước khi đi sâu vào tính năng của từng công cụ cụ thể.
Target
Target không hẳn là một công cụ độc lập, mà thực chất là một cách hiển thị thay thế cho lưu lượng được thu thập qua proxy của Burp Suite. Target sắp xếp tất cả lưu lượng theo từng domain dưới dạng danh sách có thể thu gọn lại. Bạn có thể nhận thấy một số domain trong danh sách mà bạn không nhớ đã truy cập – đó là do những domain này thường là nơi lưu trữ tài nguyên như CSS, font, hoặc JavaScript trên trang bạn đã truy cập, hoặc là nguồn gốc của các quảng cáo hiển thị trên trang. Tính năng này hữu ích để bạn có thể quan sát được toàn bộ lưu lượng của một yêu cầu trang duy nhất đang được chuyển tới đâu.
Dưới mỗi domain trong danh sách là danh sách các trang mà dữ liệu đã được yêu cầu từ domain đó. Phía dưới có thể là các yêu cầu cụ thể cho các tài nguyên và thông tin chi tiết của từng yêu cầu.
Khi bạn chọn một yêu cầu, thông tin thu thập được sẽ hiển thị bên cạnh danh sách thu gọn. Thông tin này giống hệt như những gì bạn đã xem trong mục “HTTP History” của proxy, và được định dạng theo cùng một cách. Target mang đến cho bạn một cách tổ chức và truy cập thông tin khác.
Repeater
Repeater, như tên gọi đã gợi ý, là một công cụ cho phép bạn lặp lại và điều chỉnh một yêu cầu đã được thu thập. Bạn có thể gửi yêu cầu đến Repeater và thực hiện lại chính xác yêu cầu ban đầu hoặc tự tay chỉnh sửa một số phần của yêu cầu để tìm hiểu cách máy chủ đích xử lý các yêu cầu đó.
- Tìm yêu cầu đăng nhập thất bại trong mục “HTTP History”. Nhấp chuột phải vào yêu cầu đó và chọn “Send to Repeater”.
- Tab Repeater sẽ được đánh dấu. Nhấp vào tab này để hiển thị yêu cầu trong khung bên trái. Giống như ở mục “HTTP History”, bạn có thể xem yêu cầu ở nhiều định dạng khác nhau.
- Nhấp vào nút “Go” để gửi lại yêu cầu.
Phản hồi từ máy chủ sẽ xuất hiện trong khung bên phải. Phản hồi này sẽ giống hệt như phản hồi ban đầu mà bạn nhận được từ máy chủ khi yêu cầu được gửi lần đầu.
Nhấp vào tab “Params” của yêu cầu, sau đó thử chỉnh sửa các tham số và gửi lại yêu cầu để xem kết quả. Bạn có thể thay đổi thông tin đăng nhập hoặc các phần khác của yêu cầu có thể tạo ra các lỗi mới. Trong một tình huống thực tế, công cụ Repeater có thể được dùng để dò xét và xem cách máy chủ phản hồi với các tham số khác nhau hoặc khi thiếu chúng.
Intruder
Công cụ Intruder có những tính năng tương tự như một ứng dụng brute force, chẳng hạn như Hydra được đề cập trong hướng dẫn trước. Mặc dù Intruder cung cấp một số cách khác nhau để khởi chạy cuộc tấn công kiểm thử, nhưng năng lực của nó trong phiên bản miễn phí của Burp Suite vẫn có giới hạn. Do đó, đối với một cuộc tấn công brute force hoàn chỉnh, sử dụng công cụ như Hydra có thể là lựa chọn tối ưu hơn. Tuy nhiên, Intruder vẫn hữu ích cho những kiểm thử nhỏ hơn và giúp bạn hình dung cách máy chủ phản hồi với một cuộc tấn công quy mô lớn hơn.
- Tab “Target” của Intruder hoạt động theo đúng tên gọi. Tại đây, bạn nhập tên hoặc địa chỉ IP của mục tiêu cần test và cổng mà bạn muốn kiểm thử.
- Tab “Positions” cho phép bạn chọn các vùng trong yêu cầu mà Burp Suite sẽ thay thế bằng các biến lấy từ wordlist. Theo mặc định, Burp Suite tự động chọn những vị trí thường được test. Bạn có thể điều chỉnh thủ công với các điều khiển bên cạnh: “Clear” để xóa tất cả biến đã chọn, và bạn có thể thêm hoặc loại bỏ biến bằng cách đánh dấu và nhấp “Add” hoặc “Remove”.
- Tab “Positions” cũng cho phép bạn chọn cách Burp Suite sẽ thử nghiệm các biến đó.
- Chế độ Sniper sẽ thử mỗi biến một cách riêng lẻ.
- Battering Ram sẽ thử tất cả các biến với cùng một từ cùng một lúc.
- Pitchfork và Cluster Bomb tương tự như hai chế độ trên, nhưng sử dụng nhiều wordlist khác nhau.
- Tab “Payloads” cho phép bạn tạo hoặc nạp một wordlist để sử dụng trong kiểm thử với Intruder.
Comparer
Công cụ cuối cùng mà hướng dẫn này đề cập là “Comparer.” Như tên gọi, Comparer cho phép bạn so sánh hai yêu cầu đặt cạnh nhau, giúp dễ dàng nhận thấy những khác biệt giữa chúng.
- Quay lại và tìm yêu cầu đăng nhập thất bại đã gửi tới WordPress. Nhấp chuột phải vào yêu cầu đó và chọn “Send to Compare.” Sau đó, tìm yêu cầu đăng nhập thành công và làm tương tự.
- Các yêu cầu đó sẽ xuất hiện bên dưới tab “Comparer,” xếp chồng lên nhau theo thứ tự. Ở góc dưới bên phải màn hình sẽ hiển thị nhãn “Compare…” kèm theo hai nút bên dưới. Nhấp vào nút “Words.”
- Một cửa sổ mới sẽ mở ra, hiển thị các yêu cầu cạnh nhau, kèm theo tất cả các điều khiển tab tương tự như trong “HTTP History” để định dạng dữ liệu. Bạn có thể dễ dàng sắp xếp lại và so sánh các bộ dữ liệu như headers hoặc tham số mà không phải chuyển qua lại giữa các yêu cầu.
Kết Luận
Vậy là bạn đã đi trọn vẹn bốn phần trong chuỗi hướng dẫn tổng quan về Burp Suite. Với nền tảng kiến thức vững chắc mà bạn đã tích lũy, giờ đây bạn hoàn toàn có thể tự tin sử dụng và khám phá Burp Suite một cách chủ động – từ những thao tác cơ bản đến ứng dụng thực tế trong các chiến dịch kiểm thử thâm nhập (penetration testing) cho ứng dụng web. Đây chính là bước đệm để bạn nâng cao kỹ năng bảo mật và phát triển chuyên môn trong lĩnh vực an ninh mạng.