Saat menguji keamanan aplikasi web, Anda akan kesulitan menemukan seperangkat alat lebih baik daripada Burp Suite dari keamanan web Portswigger. Ini memungkinkan Anda untuk mencegat dan memantau lalu lintas web bersama dengan informasi terperinci tentang permintaan dan tanggapan ke dan dari server.
Ada terlalu banyak fitur di Burp Suite untuk dibahas hanya dalam satu panduan, jadi yang satu ini akan dipecah menjadi empat bagian. Bagian pertama ini akan mencakup pengaturan Burp Suite dan menggunakannya sebagai proxy untuk Firefox. Yang kedua akan membahas cara mengumpulkan informasi dan menggunakan proxy Burp Suite. Bagian ketiga masuk ke skenario pengujian realistis menggunakan informasi yang dikumpulkan melalui proxy Burp Suite. Panduan keempat akan mencakup banyak fitur lain yang ditawarkan Burp Suite.
Dalam panduan ini, Anda akan berlatih menggunakan Burp Suite pada instance WordPress yang dihosting sendiri. Jika Anda memerlukan bantuan untuk menyiapkannya, lihat panduan Debian Anda.
Burp Suite terinstal secara default di Kali Linux, jadi Anda tidak perlu khawatir untuk menginstalnya. Bahkan, ini adalah salah satu aplikasi dalam daftar favorit di live CD Kali.
Buka dan klik melalui menu pembuka. Gunakan saja defaultnya. Ada kedalaman konfigurasi tertentu yang dapat dilakukan oleh Burp Suite, tetapi itu tidak diperlukan untuk panduan atau penggunaan dasar ini.
Menyiapkan Firefox
Burp Suite berisi proxy penyadap. Untuk menggunakan Burp Suite, Anda harus mengonfigurasi browser untuk meneruskan lalu lintasnya melalui proxy Burp Suite. Ini tidak terlalu sulit dilakukan dengan Firefox, yang merupakan browser default di Kali Linux.
Buka Firefox dan klik tombol menu untuk membuka menu pengaturan Firefox. Di menu, klik "Preferensi." Ini akan membuka tab "Preferensi" di Firefox. Di paling kiri tab adalah daftar menu lain. Klik pada opsi terakhir, "Lanjutan." Di bagian atas tab "Lanjutan" adalah menu baru. Klik opsi "Jaringan" di tengah. Di bagian "Jaringan", klik tombol atas berlabel, "Pengaturan ..." Itu akan membuka pengaturan proxy Firefox.
Ada sejumlah opsi bawaan Firefox untuk menangani proxy. Untuk panduan ini, pilih tombol radio "Konfigurasi Proksi Manual:". Ini akan membuka serangkaian opsi yang memungkinkan Anda memasukkan alamat IP dan nomor port proxy Anda secara manual untuk masing-masing dari sejumlah protokol. Secara default, Burp Suite berjalan pada port 8080 , dan karena Anda menjalankan ini di mesin Anda sendiri, masukkan 127.0.0.1 sebagai IP-nya. Perhatian utama Anda adalah HTTP, tetapi Anda dapat mencentang kotak bertanda, "Gunakan server proxy ini untuk semua protokol," jika Anda merasa malas.
Di bawah opsi konfigurasi manual lainnya adalah kotak yang memungkinkan Anda untuk menulis pengecualian untuk proxy. Firefox menambahkan kedua nama, localhost , serta IP, 127.0.0.1 , ke bidang ini. Hapus atau ubah keduanya, karena Anda akan memantau lalu lintas antara browser Anda dan penginstalan WordPress yang dihosting secara lokal.
Dengan konfigurasi Firefox, Anda dapat melanjutkan untuk mengkonfigurasi Burp dan memulai proxy.
Mengonfigurasi Proksi
Proxy harus dikonfigurasi secara default, tetapi luangkan waktu sebentar untuk memeriksanya kembali. Jika Anda ingin mengubah pengaturan di masa mendatang, Anda dapat melakukannya dengan mengikuti metode yang sama.
Di jendela Burp Suite Anda, klik "Proxy" di baris atas tab, lalu "Opsi" di tingkat bawah. Bagian atas layar akan bertuliskan “Proxy Listeners” dan memiliki kotak dengan localhost IP dan port 8080 . Di sebelah kiri harus ada kotak centang di kolom "Berjalan". Jika itu yang Anda lihat, Anda siap untuk mulai menangkap lalu lintas dengan Burp Suite.
Pemikiran Penutup
Pada titik ini Anda memiliki Burp suite yang berjalan sebagai proxy untuk Firefox, dan Anda siap untuk mulai menggunakannya untuk menangkap informasi yang berasal dari Firefox ke instalasi WordPress yang dihosting secara lokal.
Dalam panduan berikutnya, Anda akan menangkap informasi itu dan mempelajari cara membaca dan memecahnya menjadi bagian-bagian yang dapat digunakan. Jumlah informasi yang dapat dikumpulkan oleh Burp Suite sangat luar biasa, dan ini membuka banyak kemungkinan baru untuk menguji aplikasi web Anda.