- خزنده ای قدرتمند برای شناسایی تمام صفحات سایت
- اسکنری قدرتمند برای شناسایی ضعف های سایت
- پیاده سازی حملات بروت فورس (حملاتی که یوزر را بدست آورده ایم و حالا میخواهیم پسورد های مختلف را امتحان کنیم تا به جواب برسیم)
- install FoxyProxy extension ---> options ---> add proxy ---> proxy type : HTTP Proxy IP address or DNS name : 127.0.0.1 port : 8080 and save it
- when working with Burp Suite, FoxyProxy should be on (127.0.0.1) and during daily use, FoxyProxy should be off.
- turn on the FoxyProxy and search in the browser :
- http://burp click on the CA certificate and a file will be downloaded. then we go to the browser sitting :
- setting ---> certificates ---> view certificates (certificate manager) ---> authorities tab --- > import ---> select the file we downloaded ---> trust this CA . . . websites ---> OK
- we do this so that Burp Suite isn't limited to http and accept : https
-
proxy : اطلاعاتی که از طریق مرورگر ثبت میشود در اینجا ثبت میشود (واسط بین من و سرور)
-
target : درخواست هایی که ارسال کردیم را به صورت ریکوئست و ریسپانس میبینیم
-
action : کلیک راست روی صفحه در قسمت پروکسی همان بخش های اکشن را نشان میدهد
- send to repeater : توی این بخش تغییراتی که بخواهیم توی درخواستمون ایجاد میکنیم
-
scope : یک آدرس را میدهیم و میگوییم میخواهیم ریکوئست و ریسپانس های مربوط به این مسیر را ببینیم
-
scan :
- crawl : خزش
- crawl and audit : هم خزش انجام میدهد و هم بعد از این که دایرکتوری ها را مشخص کرد کار اسکن هم انجام بده
- URLs to scan : سایت یا مسیرهای خاص یک سایت را برای اسکن میدهیم
-
live task :
- live audit : اسکن کامل
- live passive crawl : برسی دایرکتوری ها بدون انجام اسکن
-
comparer : مقایسه کننده بر اساس کلمه یا بایت
-
intruder : برای تست روی پارامترهای یک وبسایت
-
sequencer : میتونیم روی پارامترهایی که به صورت رندوم تعریف میشه آنالیز داشته باشیم مثل توکنها و سیشنها
-
extender : برپ سویت را مجهزتر میکنیم و امکانات بیشتری را اضافه میکنیم با نصب اکستنشن های مختلف
- CMS Scanner : اسکنی روی سیستم مدیریت محتوا انجام میدهد
- WAF Detect : نوع واف را شناسایی میکند
- GET : different requests to view a page.
- POST : we enter information in a form and send it to the server.
- HEAD : request for page header.
- TRACE : it allows the user to see the process of changing requests step by step.
- PUT : it helps to send a data and save it at the same time.
- DELETE : it's used to delete a page.
- OPTION : we can see all the request methods of the page.
- Point :
for the security of the website, the following request method must be closed :
- OPTION
- DELETE
- PUT