اقرأ في هذا المقال
- ما هي أداة الحماية Burp Suite
- كيف تعمل أداة الحماية Burp Suite
- ميزات أداة الحماية Burp Suite
- تسعير أداة الحماية Burp Suite
- إختبار أمان الويب باستخدام أداة الحماية Burp Suite
أداة الحماية (Burp Suite Professional)، من (PortSwigger)، هي مجموعة الأدوات الرائدة في العالم لإختبار أمان الويب، يلجأ أكثر من (52000) مستخدم في جميع أنحاء العالم لاستخدام (Burp Suite Professional) للعثور على المزيد من نقاط الضعف بشكل أسرع، باستخدام الأدوات اليدوية والآلية المصممة بخبرة.
ما هي أداة الحماية Burp Suite
(Burp Suite) عبارة عن مجموعة متقدمة من الأدوات لإكتشاف واستغلال الثغرات الأمنية في تطبيقات الويب، كل ذلك ضمن منتج واحد، يمكن استخدام (Burp Suite) للإختبار والإبلاغ عن عدد كبير من الثغرات الأمنية، بما في ذلك (SQL) و(XSS) و(OWASP) وغيرها الكثير، (PortSwigger) هي شركة أمان الويب التي تمكّن العالم من تأمين الويب، كان (PortSwigger Burp Suite Professional) يُعرف سابقًا باسم (Burp).
ملاحظة:“SQL” اختصار لـ “Structured Query language”.
ملاحظة:“XSS” اختصار لـ “Cross-site scripting”.
ملاحظة:“OWASP” اختصار لـ “Open Web Application Security Project”.
كيف تعمل أداة الحماية Burp Suite
تعمل كخادم وكيل الويب بين متصفح المستخدم وإتصال الإنترنت، يعمل هذا التطبيق كنقطة وسطية بين المتصفح والإنترنت، تتيح هذه الميزة لمجموعة (burp) إجراء جميع عمليات الفحص الأمني واعتراض وتعديل طلبات (Http) وتحليل استجابة خادم الويب وإيجاد نقاط الضعف وهجمات الخرائط وتنفيذ العديد من أنواع الهجمات الأخرى أيضًا.
ملاحظة:“Http” اختصار لـ “HyperText Transfer Protocol”.
ميزات أداة الحماية Burp Suite
- تحتوي أداة الحماية (BurpSuite) على وكيل إعتراض يتيح للمستخدم الاطلاع على محتويات الطلبات والإستجابات وتعديلها أثناء إنتقالها، كما يتيح للمستخدم إرسال الطلب والاستجابة تحت المراقبة إلى أداة أخرى ذات صلة في (BurpSuite)، مما يزيل عبء النسخ واللصق.
- مقارنة بأدوات تقييم تطبيقات الويب الأخرى، تعد (Burp Suite) أداة قوية لإختبار الاختراق المستند إلى الويب للحصول على سعر معقول، توفر مجموعة (Burp) الكثير من الأدوات لمختبري الاختراق.
- إنها أداة رائعة للمخترقين مع جميع ميزات القرصنة ونتائج الفحص المفصلة للويب أو تطبيق الهاتف المحمول، مع الإعداد السهل والدعم الرائع.
- إختبار الأمان الذي يغطي أكثر من (100) نقطة ضعف، بالإضافة إلى تحديثات مستمرة لضمان التعرف على أحدث الثغرات الأمنية.
- محرك تحليل (JavaScript) يستخدم تقنيات اختبار ثابتة وديناميكية لتحديد نقاط الضعف من جانب العميل، بالإضافة إلى تقرير شامل عن نقاط الضعف.
- جدولة الفحص لتكرار عمليات الفحص، بالإضافة إلى لوحة تحكم مركزية لإعطاء منظور كامل لأمان الشركة.
- واجهة مستخدم جيدة التصميم وخفيفة الوزن جدا ومستقرة، بالإضافة إلى دعم عبر المنصة.
- يمكن أن تعمل مع جميع المتصفحات تقريبًا، كما يمكن أن تساعد في التسلل إلى موقع الويب.
- يمكن أن تساعد في فحص طلب واستجابة (Http / Https)، كما يمكنه تنفيذ هجمات التخصيص.
تسعير أداة الحماية Burp Suite
مجاني تمامًا لجميع المستخدمين، يأتي الإصدار الإحترافي من (Burp Suite) كترخيص لمستخدم واحد، مما يعني أنه في كل مرة يرغب فيها مستخدم جديد في تثبيت هذا الإصدار، سيتعين عليه شراء ترخيص جديد، سيؤدي هذا إلى دفع (399) دولارًا سنويًا، وبينما يمكن للمستخدم الإشتراك لمدة عام أو عامين أو عشر سنوات فورًا، لكن لن تتم مكافأته بأي خصم على الالتزام طويل الأجل.
ومع ذلك، إنه يوفر نسخة تجريبية مدتها (30) يومًا وتجربة هذا المنتج مجانًا قبل إجراء عملية شراء، الإصدار الثالث والأخير من (Burp Suite) موجه نحو المؤسسات ويأتي في شكل ثلاث خطط كاملة الميزات تتراوح من (6995) دولارًا أمريكيًا إلى (29450) دولارًا أمريكيًا سنويًا، يمكن شراء أحد الإصدارات المدفوعة باستخدام جميع بطاقات الائتمان أو (PayPal) أو التحويل البنكي أو الشيك أو (Bitcoin).
إختبار أمان الويب باستخدام أداة الحماية Burp Suite
إن فهم كيفية تعرض التطبيقات للهجوم هو مفتاح الدفاع عنها، (Burp Suite) عبارة عن نظام أساسي شامل وأداة رسومية لإجراء إختبار أمان لتطبيقات الويب، وهو يدعم عملية الاختبار بأكملها، بدءًا من التخطيط في البداية وتحليل هجوم أحد التطبيقات، وحتى إكتشاف الثغرات الأمنية وكيفية استغلالها.
يعتزم توفير حل شامل لفحوصات أمان تطبيقات الويب، بالإضافة إلى الوظائف الأساسية، مثل: الخادم الوكيل وأدوات الفحص، تحتوي الأداة أيضًا على خيارات أكثر تقدمًا مثل فك التشفير والمقارنة والموسع.
الأداة مكتوبة بلغة (Java) وتم تطويرها بواسطة (PortSwigger Web Security)، تحتوي الأداة على ثلاثة إصدارات، إصدار المجتمع الذي يمكن تنزيله مجانًا وإصدار (Professional) وإصدار (Enterprise) يمكن شراؤه بعد فترة تجريبية.