تطورت تقنية الويب بشكل كبير في العقود الأخيرة، حيث أصبحت التطبيقات الإلكترونية جزءًا لا يتجزأ من حياتنا اليومية. مع زيادة استخدام التطبيقات عبر الإنترنت، أصبحت مسألة أمان وحماية البيانات أمرًا حيويًا. في هذا السياق، يأتي دور أدوات اختبار أمان تطبيقات الويب للمساهمة في تحسين الأمان وتقوية حماية البيانات.
من بين هذه الأدوات، يبرز "Burp Suite" كأحد الحلول الرائدة في مجال اختبار أمان تطبيقات الويب. يعد Burp Suite منصة متكاملة تتيح لمختبري الأمان ومطوري تطبيقات الويب اكتشاف الثغرات الأمنية وتحليل حركة المرور بين المتصفح والخادم.
سيتم في هذا المقال استكشاف ميزات Burp Suite، وكيف يمكن تثبيتها على مختلف أنظمة التشغيل، بالإضافة إلى نظرة عن كثب على كيفية استخدام الأدوات المختلفة المتوفرة فيه لتحسين أمان تطبيقات الويب والحد من المخاطر الأمنية.
ما هو برنامج Burp Suite
برنامج برب سويت أو Burp Suite بالإنجليزية هو برنامج متقدم مصمم لاختبار أمان تطبيقات الويب، ويوفر مجموعة من الأدوات المتكاملة لمهندسي الأمان واختبار الاختراق. يسهل Burp Suite تحليل حركة المرور بين المتصفح والخادم، ويسمح بكشف الثغرات الأمنية وتقديم تقارير شاملة حولها. دعونا نفحص العناصر الرئيسية التي يوفرها Burp Suite:
1. Burp Proxy يعمل كواجهة بين المتصفح والخادم، مما يسمح لمحللي الأمان بتسجيل وتحليل حركة المرور. يمكن تعديل الطلبات والاستجابات بشكل دقيق، مما يسهم في فحص الثغرات وتحديد نقاط الضعف.
2. Burp Scanner يقوم بتحليل تلقائي لتطبيقات الويب لاكتشاف الثغرات الأمنية. يدعم العديد من الهجمات مثل Cross-Site Scripting (XSS) وSQL Injection، ويقدم تقارير مفصلة حول الثغرات المكتشفة.
3. Repeater يتيح للمستخدم تكرار طلبات HTTP مع تعديلات لاختبار التفاعل مع التطبيق. يفيد في فحص كيف يتفاعل التطبيق مع التعديلات على الطلب.
4. Sequencer يستخدم لتقييم جودة التشفير في التطبيق عبر تحليل الأنماط والتسلسلات. كما يساعد على فحص قوة وجودة الرموز والتشفير المستخدم.
5. Spider يقوم بفحص تلقائي لمواقع الويب لاكتشاف جميع الروابط والصفحات المتاحة. ويساعد على بناء خريطة شاملة للتطبيق والتعرف على المناطق المحتملة للثغرات.
6. Intruder يسمح بتنفيذ هجمات تكرارية أو تخمينية لاختبار قوة كلمات المرور أو تحليل التفاعل مع البيانات.
7. Decoder يقوم بترميز وفك ترميز البيانات، في حين يُستخدم Comparer لمقارنة بيانات مختلفة وتحديد الفروق بينها.
8. Burp Collaborator يساعد على اكتشاف الهجمات التي تتضمن تفاعل مع مصادر خارجية، مثل DNS وHTTP وSMTP.
برغم أن Burp Suite يتيح للمحترفين في مجال أمان تطبيقات الويب تنفيذ الاختبارات بشكل احترافي، إلا أنه أداة قابلة للتعلم، ويمكن استخدامها بفاعلية من قبل المبتدئين أيضًا. يتميز Burp Suite بتحديثات مستمرة لمواكبة تطور تهديدات الأمان على الويب، مما يجعله خيارًا مثاليًا لتعزيز أمان تطبيقات الويب.
تحميل وتثبيت برنامج Burp Suite
لتحميل برنامج Burp Suite قم بزيارة الموقع الرسمي عبر المتصفح الخاص بك. للوصول إلى تنزيل Burp Suite، قد تحتاج إلى إنشاء حساب على الموقع. اتبع التعليمات لإنشاء حساب جديد إذا لزم الأمر.
بعد تسجيل الدخول، انتقل إلى صفحة تنزيل Burp Suite. اختر النسخة المناسبة لنظام التشغيل الذي تستخدمه (Windows، macOS، أو Linux). اضغط على رابط التحميل المناسب لنظام التشغيل الخاص بك، وابدأ تنزيل ملف التثبيت.
تأكد من أن نظام التشغيل الخاص بك متوافق مع Burp Suite. بعد اكتمال التنزيل، افتح ملف التثبيت المحمل. يمكن أن يكون ذلك عبر فك الضغط عن الملف (إذا كان في شكل أرشيف) وتشغيل ملف التثبيت.
قم باتباع التعليمات التي تظهر على الشاشة أولا بأول حتي تتم عملية التثبيت. قد تطلب العملية منك اختيار المجلد الذي تريد تثبيت Burp Suite فيه وإجراء تكوينات إضافية. بعد اكتمال عملية التثبيت، قم بتشغيل Burp Suite. قد تحتاج إلى استخدام أذونات المشرف إذا كنت تعمل على نظام Windows. ثم بعد ذلك اتبع الخطوات التوجيهية لتكوين البيئة الخاصة بك، مثل ضبط بروكسي المتصفح وتكوين إعدادات الاتصال.
يُفضل دائمًا استخدام أحدث إصدار من Burp Suite لضمان توافقها مع أحدث تحديثات الأمان. يمكنك زيارة موقع الويب الرسمي باستمرار للتحقق من وجود تحديثات. بهذه الطريقة، يمكنك تحميل وتثبيت Burp Suite بسهولة على جهاز الكمبيوتر الخاص بك والبدء في استخدام هذه الأداة القوية في اختبار أمان تطبيقات الويب.
يعد تثبيت الأداة عملية مباشرة بمجرد تشغيل برنامج التثبيت، وإذا كان لديك إصدار Burp Suite Enterprise أو إصدار Burp Suite Professional، فستحتاج إلى إدخال مفتاح الترخيص الذي سيُوَفَّر لك.
إذا كنت لا ترغب في استخدام Community Edition، فيمكنك طلب نسخة تجريبية مدتها شهر واحد لاستخدام Professional Edition. يعد إصدار Burp Suite Community مناسبًا جدًا لاختبار سعة التشغيل التي يمكن لنظامك التعامل معها قبل ترقية إصدارك.
لضمان تثبيت Burp Suite بنجاح، نوصيك بأن يكون لديك نظام يحتوي على ذاكرة لا تقل عن 8 جيجابايت ووحدتي معالجة مركزية. ولكن إذا كنت ستجري كميات كبيرة جدًا من اختبارات اختراق تطبيقات الويب، فقد تحتاج إلى المزيد من الذاكرة وزيادة قوة وحدة المعالجة المركزية لديك إن أمكن.
تحميل برنامج Burp Suite Community Edition برابط مباشر آخر إصدار مجاناً
تحميل برنامج Burp Suite Professional Edition برابط مباشر آخر إصدار مجاناً
تحميل برنامج Burp Suite Enterprise Edition برابط مباشر آخر إصدار مجاناً
كيفية استخدام برنامج Burp Suite
استخدام برنامج Burp Suite يتطلب فهمًا جيدًا للأدوات والميزات المتاحة. فيما يلي شرح تفصيلي لكيفية استخدام Burp Suite خطوة بخطوة:
#1) اختيار مشروع Burp Suite
مباشرة بعد الانتهاء من التثبيت والتنشيط، فإن الشيء التالي هو صفحة تظهر لك تشرح كيفية بدء تشغيل البرنامج في كل مرة تقوم فيها بتشغيل Burp Suite. أول شيء في البرنامج هو تحديد أو إنشاء مشروع للعمل معه. ولذلك يجب عليك تحديد أحد الخيارات التالية:
⚫ مشروع مؤقت (Temporary project): حدد هذا الخيار إذا كنت تريد فقط القيام بمهمة سريعة، ولا تريد حفظ عملك. يتم الاحتفاظ بجميع بيانات العمل في الذاكرة، وتُزَال فورًا بعد إغلاق الأداة.
⚫ مشروع جديد على القرص (New project on disk): حدد هذا الخيار إذا كنت تنوي بدء مشروع جديد يخزن بياناته في ملف مشروع Burp Suite. سيستمر هذا الملف في الاحتفاظ بجميع البيانات وإعدادات التكوين للمشروع. تزداد البيانات المحفوظة في أثناء العمل على Burp Suite.
⚫ فتح مشروع موجود (Open existing project): حدد هذا الخيار إذا كنت تريد إعادة فتح مشروع موجود من ملف مشروع Burp Suite. سترى جميع المشاريع المفتوحة مؤخرًا معروضة لاختيارك.
#2) التأكد من أن Burp Suite proxy listener نشط وقيد التشغيل
يعترض Burp Suite proxy listener حركة المرور الواردة من متصفح الويب الخاص بك عند تكوينه بشكل صحيح. العمل الرئيسي الذي يقوم به هذا الوكيل هو مراقبة واعتراض جميع طلبات الويب والاستجابات من متصفحك.
تأكد من أن listener نشط للغاية، ويعمل بالنقر فوق علامة التبويب Proxy ثم انقر فوق علامة التبويب Options.
على واجهة Proxy listener، سترى عنوان IP المحلي الافتراضي ورقم المنفذ وهو 127.0.0.1:8080، ويمكنك أن تقرر إضافته أو تحريره أو إزالته. عندما ترى خانة الاختيار قيد التشغيل محددة، فهذا يؤكد أن listener قيد التشغيل.
#3) تكوين إعداد الوكيل
إذا كنت لا ترغب في تحمل ضغط تكوين إعدادات الوكيل على متصفح خارجي، فيمكنك فقط استخدام المتصفح المضمن الذي كُوِّن مسبقًا للعمل مع Burp Suite Proxy.
انقر فوق علامة التبويب Proxy وانقر فوق علامة التبويب Intercept، وسيظهر لك متصفح Burp المضمن، وانقر فوق Open Browser. ويرجى العلم أن الخطوات التالية مطلوبة فقط إذا كنت تريد استخدام متصفح خارجي للاختبار اليدوي مع Burp Suite.
أ) تكوين Burp Suite مع Firefox
من المهم جدًا تكوين متصفح Firefox لاستخدامه للاختبار مع Burp Suite. اتبع الخطوات التالية لتكوين إعدادات شبكة Firefox الخاصة بك:
* افتح متصفح Firefox وافتح قائمة Firefox، ثم قم بالتمرير لأسفل وحدد الخيارات.
* انقر على القائمة "General"وانتقل إلى قسم "إعدادات الشبكة" وانقر على زر "Settings".
* من قسم إعدادات الاتصال، حدد "Manual proxy configuration".
* أدخل عنوان Burp Suite Proxy listener الذي يحتوي على الرقم الافتراضي 127.0.0.1 في حقل HTTP Proxy.
* أدخل منفذ Burp Suite Proxy listener الذي يحتوي على الرقم الافتراضي 8080 في حقل المنفذ، وحدد خانة الاختيار استخدم هذا الوكيل أيضًا لـ FTP وHTTPS.
ب) تكوين Burp Suite مع Chrome
اتبع أدناه تكوين متصفح Chrome مع Burp Suite الذي أُجْرِي على نظام Windows 10:
* افتح Chrome وانتقل إلى القائمة.
* في القائمة، حدد الإعدادات، ثم قم بالتمرير لأسفل وانقر فوق "Advance" وانقر فوق "Open your computer’s proxy settings".
* أدخل عنوان Burp Suite Proxy listener الذي يحتوي على الرقم الافتراضي 127.0.0.1 في حقل العنوان.
* أدخل منفذ Burp Suite Proxy listener الذي يحتوي على الرقم الافتراضي 8080 في حقل المنفذ.
* قم بتشغيل "Use a Proxy Server".
#4) تكوين FoxyProxy مع Burp Suite
FoxyProxy هو امتداد يزيل المهمة المضنية المتمثلة في تكوين إعدادات الوكيل على النظام في كل مرة تكون هناك حاجة إليها. يتيح ملحق الوكيل الصغير هذا، ولكن القوي جدا في إمكانياته الوصول إلى عدد كبير جدًا من الوكلاء في متصفحات Firefox وChrome. المطلوب منك هو تفعيل هذا الامتداد في شريط الأدوات لديك، وستكون جاهزًا لاستخدام الوكيل في Burp Suite.
#5) ما يجب فعله بعد تكوين المتصفح في Burp Suite
⚫ تأكد من التأكد من أن proxy listener نشط.
⚫ تأكد من تشغيل Burp Suite. افتح المتصفح الذي قمت بتكوينه وانتقل إلى أي عنوان URL HTTP لا تستخدم HTTPS بعد. ستلاحظ أن متصفحك سيستمر في العمل، أو يظهر أنه يحاول تحميل الصفحة المطلوبة.
والسبب في ذلك هو أن Burp Suite اعترض طلب HTTP الذي يحاول المتصفح إرساله.
⚫ داخل Burp Suite، انقر فوق علامة التبويب Proxy وانقر أيضًا على علامة التبويب Intercept ضمن علامات التبويب الرئيسية. تأكد من تمييز علامتي التبويب، وستبدأ في رؤية الطلبات جميعها التي اُعْتُرِضَت تسقط في لوحة Raw.
⚫ هناك شيء آخر يتعين عليك القيام به في Burp Suite وهو التأكد من تمييز زر "Intercept is on" قبل أن يتم اعتراض أي طلب ويب. إذا تم النقر على زر Intercept is off، فسيتم تحرير الطلب من Burp Suite.
⚫ إذا قمت بفحص متصفحك بعد إيقاف تشغيل intercept، فسيتم النقر فوق الزر. وسترى أنه سيتم الآن تحميل الصفحة المطلوبة على الشاشة.
باتباع الخطوات المذكورة أعلاه، ستتعرف على خطوات التكوين لاستخدام متصفح خارجي مع Burp Suite.
ملاحظة هامة: حاليًا، يمكنك فقط اختبار تطبيقات الويب التي تستخدم HTTP. إذا بذلت جهدًا لاختبار تطبيق HTTPS، فستلاحظ أن الاتصال محظور. لذلك، ننصحك قبل اختبار تطبيقات HTTPS، أن تقوم بتثبيت شهادة Burp Suite CA أولاً.