بحث

شرح وتنزيل البرنامج أداة الإختراق Burp Suite Pro للويندوز

مشاهدات الان

 أشهر أدوات الإختراق الموجودة حاليا في مقال منفصل يشرح كل أداة
على حدة، الهدف من سلسلة المقالات هذه هو تعريفك أكثر بالبرمجيات المستخدمة في مجال
الإختراق، و الهدف من هذه البرمجيات و كيف يمكن إستخدامها كذلك


شرحنا في آخر مقال أداة Metasploit و وضحنا متى و كيف تستخدم هذه المنصة، و اليوم
سنقوم على أعتاب أداة Burp suite التي تعتبر كذلك واحدة من أقوى أدوات الإختراق
الموجودة في عدة أنظمة إختراق أشهرها نظام الـ Kali Linux، و سنقوم في هذا المقال
بشرح كل خصائصها و ميزاتها و إستخداماتها أيضا مع توفير فيديو في الأخير يشرح لك
الأداة بشكل أقرب

ما هي أداة Burp suite ؟

أداة Burp Suite و هي أداة إختراق و حماية متاحة لكل من نظام اللينكس، الـ
Mac OS و أيضا الويندوز تم تطويرها من طرف شركة Portswigger. و هي برمجية متاحة بـ
3 نسخ منها الـ Professional و الـ Enterprise و الـ Community، كل من نسخة Pro و
Enterprise مدفوعتين و يمكن تجربتهما بالمجان لفترة محدودة، و نسخة Community متاحة
بشكل مجاني مع نقص في بعض البرمجيات و الخصائص. في الغالب نجد نسخة الـ Community
في أنظمة مختلفة جاهزة كنظام Kali Linux.

أداة Burp Suite هي أداة إختراق لتطبيقات الويب و تعتمد على عدة تقنيات تؤهلها
لتصير كذلك و تعتبر واحدة من اشهر أدوات الاختراق في العالم لذلك

كل ما تحتاج معرفته عن أداة الإختراق Burp suite

إستخدامات أداة الـ Burp Suite :

تأتي أداة الإختراق Burp Suite محملة بمجموعة من التقنيات الثانوية التي
تؤهلك لهدف واحد و وحيد و هو إختبار إختراق تطبيقات الويب و المواقع بالدرجة
الأولى، تستطيع هذه الأداة كشف أي لبس في المواقع او أي مشكلة في الإتصال و الوصول
للموقع من طرف المستخدم.

تستطيع أداة Burp Suite التنصت و إعتراض أي إتصالات عابرة للموقع، و يمكنها عمل فحص
شامل لأي موقع او تطبيق ويب و إستخراج أهم نقاط الضعف الخاصة به ( مثل شهادات
الأمان SSL، تقنيات الكوكيز إن كانت تسبب أي ضرر للمستخدم ... ) حتى انها تكشف
الثغرات الموجودة في المواقع أيضا، و تستطيع أداة Burp Suite محاكاة هجوم على مواقع
و تطبيقات الويب عبر عدة تقنيات من أجل كشف قوة مواقع الويب. بل و الأداة أكثر
تطورا و ذكاءً أيضا إذ انه يمكن إستخراج كل الملفات الموجودة في أي تطبيق ويب من
صور، فيديوهات، ملفات ميديا او حتى سكربتات ( ملفات كتابية سواء كانت كود او أي نوع
آخر من الملفات )

و لأنه في تطبيقات الويب يتم الإعتماد على التشفير كثيرا، يوجد تقنيات في الـ Burp
Suite تمكنك بشكل أكبر من فك تشفير هذه الأكواد ( خصوصا أكواد الجافاسكربت ) كما
يمكنها إستخراج ملفات الـ Session و الـ Cookies احيانا في المواقع التي تطبق عليها
برمجية Burp Suite.

أهم الأدوات المكونة لبرمجية Burp Suite و إستخداماتها :

ما يجعل أداة الـ Burp Suite اداة قوية حقا هو مجموعة الأدوات و التقنيات
الثانوية الموجودة مسبقا في الأداة، نفسها الأدوات التي تفرق بين النسخة المجانية و
النسخ المدفوعة من الأداة كذلك، في هذه الفقرة سنقوم بشرح معظم هذه الأدوات بعضها
قد تجده مسبقا في النسخة المجانية و البعض الآخر متاح فقط في النسخ المدفوعة

أداة Scanner وسط الـ Burp Suite و تعتبر الأكثر فتكا في أداة Burp Suite بشكل عام،
غير متوفرة في النسخة المجانية. تسمح لك هذه الأداة بالبحث الشامل في الموقع عن أي
نوع من الأخطاء و الثغرات التي يمكن إستخدامها و يبقى الفحص لمدة طويلة حسب نوع و
تفرع الموقع.

أداة Burp Intruder من الأدوات التي ستعجبك كذلك، هذه الأداة تقوم بتنفيذ هجمات
محتملة على الموقع من هجمات Brute Force لتخمين كلمات السر الى هجمات الـ SQL
Injection على روابط تطبيق الويب، و تعمل الاداة بشكل أدق في تغيير تكوينية الـ
HTTP Request بحيث تقوم بإضافة و التعديل على روابط الـ HTTP Requests الى حين
إيجاد نوع محدد من الأخطاء او الثغرات

أداة Target، هي أداة متاحة في النسخة المجانية من البرمجية و توفر لك هذه الأداة
كل المعلومات التي تحتاج حول تطبيق الويب او الموقع الذي تريد إستهدافه بحيث تجلب
لك كل المعلومات التي تحتاج من خوادم الـ DNS، معلومات حول النطاق، معلومات حول
المنصة المستخدمة في تطبيق الويب و معلومات كثيرة، يمكننا تعريف هذه الأداة كأداة
جمع المعلومات حول هدف محدد

أداة Decoder، و كما يشير الإسم الخاص بها فالهدف منها هو فك تشفير النتائج او الـ
Responses التي يتم تحصيلها أثناء إرسال طلب (Request) محدد و التوصل بالنتائج بشكل
مشفر، لا تتعب نفسك في محاولة فك تشفيرها فقط قم بإستخدام أداة Decoder الموجودة
مسبقا في الـ Burp Suite و ستؤدي العمل

أداة Proxy، و تعتبر أشهر أداة في الـ Burp Suite بصفة عامة، يمكننا تعريفها
كبرمجية Man in the Middle بين المتصفح و الخادم بحيث تقوم بالتجسس على كل البيانات
التي يتم إرسالها و إستقبالها و تبادلها بين كل من المتصفح و الخادوم، أي عندما
تنقر على الدخول لموقع معين يتم إرسال و إستقبال طلبات، تقوم أداة Proxy بإظهارها
لك كلها في البرمجية

أداة Repeater ، هي أداة تسمح لك بالتلاعب بالقيم الموجودة في الروابط الخاصة
بالمواقع عند القيام بعمليات الـ GET، مثلا بإفتراض ان رابط موقع مثلا
website.com/user/1 يجلب لنا المستخدم رقم 1 فإن هذه الاداة ستبدأ بالتلاعب
بالأرقام الى ان تصل مثلا الى نتيجة محددة مثلا /user/256 و هنا نعرف ان عدد
المستخدمين هو 256 مستخدم في الموقع. يمكن بالطبع التلاعب بها بميزات هائلة و كثيرة

أداة Sequencer، هذه الاداة معقدة قليلا في الإستخدام و تحتاج الى بعض الوقت من أجل
فهم نمطية عملها، الهدف من الأداة هو محاولة فهم التشفير الموجودة في الـ Tokens
التي يتم توليدها في موقع محدد، إليك مثال يشرح الأمر أكثر : مثلا في فيسبوك يتم
تحديد Token مخصص أثناء إستخدام تطبيق ويب محدد للمرة الأولى قد تجده عشوائي لكن
يوجد حتما نمط يتبعه مثلا ربما يقوم بتجميع تاريخ اليوم مثلا : 21012020748 ( يبدو
عشوائيا في البداية لكن إن قسمته قد يعطيك تاريخ اليوم و الساعة ) ...، أداة
Sequencer تحاول تجريد الـ Tokens العشوائية و محاولة فهم نمطية تجسيدها

أداة Clickbandit، تعتمد هذه التقنية على توليد أكواد يمكن إدراجها في الموقع من
أجل تحصيل عمليات الـ Clickjacking، إن لم تكن لديك فكرة عن الـ Clickjacking فهي
إضافات يتم إضافتها في موقع محدد بشكل خفي بحيث تتبع تحركات المستخدم و عندما ينقر
في الصفحة تقوم بعمل محدد، إشتهرت كثيرا بين مستخدمي المواقع لجلب لايكات لصفحاتهم
على فيسبوك بحيث يتم إضافة زر لايك للصفحة بشكل خفي يلاحق سهم الفأرة و فور النقر
يقوم المستخدم بعمل لايك للصفحة دون ان يدري.

أداة Extender، تسمح لك ببساطة بإضافة أدوات جديدة و إضافات جديدة للبرنامج بحيث
تقوم الشركة المطورة بنشر برمجيات بين الحين و الاخر يمكن إدراجها للبرنامج عبر الـ
Extender، اعتبرها مثل إضافات المتصفح (Extensions).

من يمكنه إستخدام Burp Suite ؟ و كيف ؟

منصة Burp Suite بالرغم من وجود نسخ مدفوعة فيها الا انه يمكن للجميع الوصول للنسخة
المجانية التي توفر مجموعة من الأدوات القوية، و هذا يعني انه يمكن لأي شخص إستخدام
Burp Suite. إلا ان الأداة شهيرة أكثر بين صفوف مختصي الحماية في الشركات الكبرى و
الشركات المطورة لمواقع الويب بحيث يتوجب على فريق الفحص التقني تمرير أي برمجية
ويب من أداة Burp Suite للتأكد من صلابتها و صعوبة إختراق او إظهار أي معلومات عن
ضعف تطبيق الويب

يحتاج أي فريق مطور لموقع من الصفر تمرير موقعه من Burp Suite حتى لا يتعرض
للإختراق مستقبلا. على الكفة المقابلة يمكن أيضا للهاكرز إستخدام الأداة من اجل كشف
أي لبس / خطأ / ثغرة / Exploit / Glitch في تطبيق ويب معين، فأي إختلال يمكن
إستغلاله. أما للبدئ في إستخدام Burp Suite، فيكفي التوجه للموقع الرسمي، و تحميل
الأداة بما يتوافق مع نظامك الخاص و البدئ في إستخدامها


الشرح شوي معقد راح تحذف مجلد الجافا في الحاسوب : واذا طلع
لك الدخول لرقم السري اذا كنت مسوي حمايه ادخل بياناتك

انا مجلد عندي بهذا الاصدار

C:\Program Files (x86)\Java\jre1.8.0_261

راح تفك الضغط لـ burpsuite_professional

راح تجد هذا jre1.8.0_221

افتح الضغط ... بعد مسح القديم لـ jre1.8.0_261

* بعدين تنسخ اللى في مجلد

BurpSuite

وتحطه في المجلد

jre1.8.0_261

++++++++++++ الحين تروح لدوس وتكتب الامر

Java jar Loader.jar

راح تتبع الشرح لنسخ الاكواد كما بالشرح

تنزيل البرنامج


https://drive.google.com/u/0/uc?id=1lb36VEo_zfR0Sl0V6PDaysSUt4vr7Gk4&export=download



المصدر

https://portswigger.net/

شرح فيديو

https://youtu.be/ekJT8zyhEUU

https://youtu.be/mkUuNOKce7U

الحجم

‏‏100 ميغابايت ‏(105,295,872 بايت)

تنبيه نسخه الويندوز من المصدر للويندوز تثبيت عادي

Burp Suite Community Edition

بلا تفعيل ولا شي تشتغل تلقائي


وسلامتكم

إرسال تعليق

0 تعليقات