Post

What is Burp Suite?

Posted
Preview Image
By Omar Zidan
2 min read
What is Burp Suite?

ما هو Burp Suite؟

Burp Suite هو أداة أساسية لأي مختبر اختراق لتطبيقات الويب.
توفر بيئة متكاملة للتحكم في حركة البيانات بين المتصفح والسيرفر، واعتراض الطلبات وتحليلها وتعديلها.

تحتوي الأداة على أدوات للفحص اليدوي والآلي لاكتشاف ثغرات مثل:

  • XSS
  • SQL Injection
  • CSRF

كما تساعد في اكتشاف الأخطاء المنطقية والثغرات المعقّدة في التطبيقات.

المكونات الأساسية في Burp Suite

1. Dashboard

الواجهة الرئيسية للأداة.
تعرض حالة عمليات الفحص، والإشعارات عن الثغرات، والتحليلات الجارية.
يمكن من خلالها إدارة المهام، تشغيلها أو إيقافها، ومتابعة النتائج في الوقت الحقيقي.

2. Target

يمثل خريطة للموقع الذي يتم اختباره.
من خلال تبويب Site Map يمكنك مشاهدة جميع الصفحات والروابط (Endpoints).
تتيح لك تحديد نطاق الفحص (Scope) لتجنب العمل خارج حدود الاختبار.

3. Proxy

أحد أهم مكونات Burp Suite.
يعمل كوسيط بين المتصفح والسيرفر لاعتراض وتحليل الطلبات والاستجابات.

يمكنك من خلاله:

  • إيقاف الطلبات مؤقتًا وتعديلها قبل إرسالها.
  • تعديل المعاملات (Parameters) والكوكيز والهيدرز.
  • تحليل سلوك التطبيق بناءً على التغييرات.

التبويبات الفرعية:

  • Intercept: لالتقاط الطلبات الحية.
  • HTTP History: لعرض كل الطلبات والردود السابقة.
  • WebSockets: لمتابعة الاتصالات الفورية.

4. Intruder

أداة للهجوم التلقائي (Brute Force / Fuzzing).
تُستخدم لتجربة كلمات مرور أو أسماء مستخدمين مختلفة أو حقن قيم لمعرفة استجابة التطبيق.

أنماط الهجوم:

  • Sniper
  • Battering Ram
  • Pitchfork
  • Cluster Bomb

5. Repeater

أداة لتجربة الطلبات يدويًا.
يمكنك تعديل أي طلب وتجربته أكثر من مرة لتحليل الرد من السيرفر.
مفيدة لاختبار الثغرات يدويًا ومراقبة سلوك التطبيق بدقة.

6. Sequencer

تُستخدم لتحليل أمان الـ Tokens وSession IDs.
تقوم بجمع عينات وتحليل درجة العشوائية (Entropy) لتحديد مدى قوتها أو قابليتها للتنبؤ.

7. Decoder

أداة لتحويل وفك تشفير البيانات.
تدعم تنسيقات مثل Base64 وURL وHex.
مفيدة لتحليل الرموز المشفرة وفهم القيم داخل الطلبات.

8. Comparer

تُستخدم لمقارنة طلبين أو استجابتين لتحديد الفروقات الدقيقة.
مفيدة في اكتشاف اختلافات قبل وبعد تنفيذ هجوم أو إدخال Payload جديد.

9. Extender

تتيح توسيع قدرات Burp Suite عبر إضافات (Extensions).
من خلال BApp Store يمكنك تحميل إضافات مثل:

  • Logger++
  • Active Scan++
  • Auto Repeater

كما يمكن بناء إضافات مخصصة بلغة Java أو Python باستخدام Burp Extender API.

Scanner (متاح في النسخة المدفوعة)

الفاحص الآلي في Burp Suite Pro.
يعمل على اكتشاف الثغرات مثل:

  • XSS
  • SQL Injection
  • Misconfigurations

ويقوم بعملية Crawling شاملة لكل صفحات الموقع.
النسخة المجانية لا تحتوي على هذه الميزة بشكل كامل لكنها ممتازة للتدريب اليدوي.

أهم استخدامات Burp Suite

  • اعتراض الطلبات (Interception)
  • اختبار حقن الأكواد (Injection Testing)
  • تنفيذ هجمات Brute Force
  • تحليل الجلسات والكوكيز
  • اختبار APIs
  • التحقق من إدارة الجلسات (Session Management)
  • تحليل صلاحيات المستخدمين (Authorization)

ملاحظات عملية

  • تأكد من ضبط المتصفح على Proxy: 127.0.0.1:8080
  • لتجنب مشاكل HTTPS، قم بتثبيت شهادة Burp SSL في المتصفح.
  • النسخة Pro تحتوي على أدوات إضافية مثل Scanner وCollaborator.
  • النسخة المجانية كافية جدًا للتدريب والاختبار اليدوي.

نصيحة للمختبرين

ابدأ دائمًا بتحديد نطاق الفحص (Scope) بدقة.
استخدم Repeater وIntruder بذكاء لتوفير الوقت.
حمّل إضافات مفيدة من BApp Store.
وتابع سجل الطلبات في HTTP History باستمرار لتفادي فقدان أي معلومة مهمة.

cybersecurity, web-security
Burp Suite Web Penetration Testing security
This post is licensed under CC BY 4.0 by the author.