Установка и запуск Burp Suite

Что такое и для чего используется Burp Suite

Burp Suite – это интегрированная платформа для выполнения тестирования безопасности веб-приложений. Это не инструмент «навёл и нажал», он предназначен для использования тестерами в ручном режиме для поддержки процесса тестирования. Приложив немного усилий, любой сможет начать использовать ключевые функции Burp для тестирования безопасности их приложений. Некоторые продвинутые возможности Burp потребуют дальнейшего изучения и опыт освоения. Все эти инвестиции в освоение стоят затраченного времени – управляемый пользователем рабочий процесс Burp намного эффективнее для выполнения тестирования веб-безопасности и даст вам гораздо больше возможностей чем любой условный «навёл и кликнул» сканер. Burp является интуитивным и дружественным к пользователю и лучшим способом начать с ним знакомство является действие.

Существуют две редакции: Burp Suite Free Edition и Burp Suite Professional. Как следует из названия, Burp Suite Free Edition является бесплатной. Она позволяет в полной мере анализировать передаваемый трафик и выполнять ручные проверки уязвимостей. В профессиональной версии встроен автоматизированный сканер уязвимостей и дополнительные возможности. Для целей обучения достаточно бесплатной версии.

Burp Suite – это приложение, написанное на Java. Для его работы требуется виртуальная машина Java.

Для запуска Burp начнём с проверки, установлена ли Java:

• Откройте приглашение командной строки:
• На Windows нажмите Win+x, там выберите «Командная строка»
• На Mac OS X в системном доке кликните на Приложения, затем Утилиты, затем Terminal.app.
• На Linux поищите среди своих приложений то, которое называется "консоль" или "терминал".
• В окне командной строки наберите: java -version
• Если Java установлена, то вы увидите сообщение вроде java version "1.8.0_121". Для запуска Burp вам нужна версия Java 1.6 или более поздняя.
• Если Java не установлена, загрузите последнюю Java Runtime Environment (JRE), запустите установщик, после окончания откройте терминал и попробуйте снова.

Скачать Burp Suite

Для загрузки программы перейдите на официальный сайт. Выберите файл, соответствующий вашей ОС. Файл JAR является универсальным и может быть запущен на любой операционной системе с Java.

В некоторых операционных системах, например, Kali Linux и BlackArch, Burp Suite уже предустановлен. Вы можете открыть программу через меню или набрав в окне терминала:

burpsuite

Запуск Burp Suite

Файл .jar можно использовать в качестве портативной версии без необходимости устанавливать программу. На некоторых платформах с установленной Java вы можете запустить Burp двойным кликом по JAR файлу Burp. Тем не менее, предпочтительным является запуск Burp из командной строки, поскольку это даёт вам больше контроля за его выполнением, в частности количеством памяти, которое ваш компьютер назначает Burp. Чтобы это сделать в командной строке наберите что-то вроде:

java -jar -Xmx1024m /путь/до/burp.jar

где 1024 это количество памяти (в Mb), которое вы хотите назначить Burp, и /путь/до/burp.jar это расположение файла Burp JAR на вашем компьютере.

Мой файл под названием burpsuite_free_v1.7.21.jar расположен в папке C:\Users\Alex\Downloads\, тогда моя команда запуска такая:

java -jar -Xmx1024m C:\Users\Alex\Downloads\burpsuite_free_v1.7.21.jar

Если всё работает, вы увидите экран заставки и затем должно появиться главное окно мастера:

На выбор предложены следующие опции:

• Temporary project (временный проект) – Эта опция полезна для быстрых задач, в которых вам не нужно сохранять вашу работу. Все данные держаться в памяти, и теряются при выходе из Burp.
• New project on disk (новый проект на диске) – Создаётся новый проект, которых сохраняет свои данные в файле проекта Burp. Этот файл будет содержать все данные и настройки для проекта, данные сохраняются постепенно по мере вашей работы. Вы также можете указать имя для проекта.
• Open existing project (открыть существующий проект) – Будет открыт существующий проект из файла проекта Burp. Для быстрого выбора показан список последних открытых проектов. Когда выбирается эта опция инструменты Spider и Scanner будут автоматически поставлены на паузу при повторном открытии проекта, это делается во избежание отправки непреднамеренных запросов к существующим в настройках целям. Если хотите, вы можете отключить эту опцию.

Примечание: позже в меню Burp вы можете переименовать проект.

Выбор конфигурации

Для конфигурации проекта вы можете выбрать из следующих опций:

• Use Burp defaults (использовать стандартный настройки Burp) – Проект будет открыт со стандартными опциями Burp.
• Use options saved with project (использовать опции, сохранённые с проектам) – Доступно только если повторно открывается существующий проект, и проект будет открыт с использованием опций, сохранённых в файле проекта.
• Load from configuration file (загрузить из конфигурационного файла) – Проект будет открыт с использованием опций, содержащихся в выбранном конфигурационном файле Burp. Помните, что будут перезагружены только опции уровня проекта из конфигурационного файла, а все опции пользовательского уровня проигнорированы. Для быстрого выбора показан список последних используемых конфигурационных файлов.