جعبه‌ابزار برپ

جعبه‌ابزار برپ، یک ابزار گرافیکی برای آزمودن امنیت نرم‌افزارهای تحت وب و موبایل است. این ابزار توسط شرکت پورت سویگر طراحی شده و بر فناوری جاوا استوار است.

این ابزار دارای دو نسخه: نسخه رایگان است که بدون هزینه می‌توان آن را بارگیری کرد و نسخهٔ کامل که می‌توان پس از یک دوره آزمایشی آن را خریداری کرد (نسخه حرفه ای). امکانات نسخهٔ رایگان به‌طور قابل توجهی کاهش داده شده و به منظور ارائه یک راه حل جامع برای آزمودن امنیت نرم‌افزارهای تحت وب توسعه یافته‌است. علاوه قابلیت‌های پایه مانند پروکسی سرور، پویشگر و مهاجم، این مجموعه، ابزارهای پیشرفته‌تری از قبیل اسپایدر، تکرارکننده، کدگشا، مقایسه‌گر، توسعه‌دهنده و سکونسر را نیز در خود گنجانده‌است.

شرکتی که در پشت این جعبه‌ابزار قرار دارد، یک نرم‌افزار تلفن همراه سازگار با سیستم عامل آی‌اواس هشت و بالاتر نیز تولید کرده‌است.

ابزار[ویرایش]

• پروکسی اچ‌تی‌تی‌پی - یک پروکسی سرور وب راه‌اندازی می‌کند و به عنوان موجودیت میانی بین مرورگر و سرویس‌دهندهٔ وب مقصد عمل می‌کند. این کار رهگیری، بازرسی و اصلاح ترافیک خام عبوری در هر دو جهت را ممکن می‌سازد.
• پویشگر - این ابزار برای پویش خودکار آسیب‌پذیری‌های امنیتی برنامه‌های کاربردی وب کاربرد دارد.
• مهاجم - این ابزار می‌تواند حملاتی خودکار بر روی برنامه‌های کاربردی وب صورت دهدو از یک الگوریتم قابل تنظیم بهره می‌برد. این الگوریتم به مهاجم اجازهٔ ایجاد درخواست‌های بدخواهانهٔ اچ‌تی‌تی‌پی را می‌دهد و با آن می‌توان آسیب‌پذیری‌های تزریق اس‌کیوال، اسکریپت‌های بین سایتی، دستکاری پارامترها و ابتلاپذیری به حملات جستجوی فراگیر را آزمود و تشخیص داد.
• اسپایدر - ابزاری است برای خزیدن روی برنامه‌های وب به‌طور خودکار. این برزار را می‌توان در کنار تکنیک‌های نقشه‌برداری دستی برای سرعت بخشیدن به روند نقشه‌برداری از نرم‌افزارها و قابلیت‌های یک وبگاه به‌کار برد.
• تکرار کننده - یک ابزار ساده است که می‌تواند به صورت دستی برای تست یک نرم‌افزار به‌کار رود. با این ابزار می‌توان درخواست‌ها را تغییر داد، تکرار کرد و نتایج آن‌ها را مشاهده کرد.
• کدگشا - ابزاری است برای تبدیل داده‌های کدگذاری‌شده به شکل متعارف آن یا برعکس، کدگذاری و درهم‌سازی داده‌های خام در قالب‌های مختلف. این ابزار قادر است فرمت‌های مختلفی را به صورت هوشمند با استفاده از تکنیک‌های اکتشافی شناسایی کند.
• مقایسه‌گر - ابزاری است برای انجام مقایسه (یک «نمایشگر تفاوت» دیداری) دو قلم دادهٔ مختلف.
• توسعه‌دهنده - اجازه می‌دهد تا تحلیل‌گر امنیت، افزونه‌هایی را برای توسعهٔ قابلیت‌های برپ با استفاده از ابزارهای شخصی یا کدهای شخص ثالث بارگیری کند. (برپ استور)
• سکونسر - ابزاری است برای تجزیه و تحلیل کیفیت ویژگی اتفاقی‌بودن در یک نمونه از داده‌ها. این ابزار را می‌توان برای آزمودن توکن‌های جلسات کاری یا دیگر اطلاعات مهمی که انتظار می‌رود غیرقابل پیش‌بینی باشند، مانند توکن‌های ضد CSRF، توکن‌های بازنشانی گذرواژه و غیره به‌کار برد.
• مزاحم - این ویژگی برای حملات تزریقی ( Injection Attacks ) کاربرد دارد ، حملاتی مانند SQL و اسکریپتینگ می توانید پارامتر های مختلف را تنظیم کنید و نتایج آن را مشاهده کنید.

جستارهای وابسته[ویرایش]

• تست نفوذپذیری
• اسکنر امنیتی برنامه وب
• نقب‌زن (نرم‌افزار)
• پراکسی سرور
• OWASP ZAP
• Burp Suite چیست ؟

پیوند به بیرون[ویرایش]

• وب سایت رسمی
• Burp Suite مرکز پشتیبانی شامل تعداد زیادی از مقالات و بحث جامعه برای استفاده از جعبه‌ابزار برپ.
• روش آزمون با برپ توضیح روش استفاده از جعبه‌ابرار برپ برای آزمودن انواع مختلف آسیب‌پذیری در سایت‌ها و برنامه‌های وب.
• پایگاه دانش شامل تعاریف تمام مسائلی که توسط پویشگر برپ تشخیص داده می‌شود.
• Burp Suite ملزومات نویسنده Akash Mahajanهای منتشر شده توسط PACKT
• Sec ابزار