Szivattyús böfög suite

Burp Suite a fő, ha nem, akkor talán az egyik legfontosabb eszköz pentestera. Mivel az első kiadás Burp szerzett sok új funkciók jelentek meg fizetett és ingyenes változatban. Gyakran azonban során beépített funkciókat Pentest nem elég, és ebben az esetben az, hogy a támogatás Burp Extender - Kibővített Interface Burp lehetőségeket. A program maga írt Java, valamint levelet kiterjesztések javasolt ezen a nyelven. Mindazonáltal, az erőfeszítések a harmadik fél jelenleg számos projektet, amelynek célja -, hogy a lehetőséget, hogy bővítmények és más nyelveken. Köztük:

• Buby - lehetővé teszi, hogy írjon a bővítmények Ruby segítségével JRuby;
  
• Resty Burp - egy REST / JSON-interfész Burp szolgáltatása lehetővé teszi, hogy írjon kiterjesztések bármely nyelven (sajnos csak akkor működik, a fizetett változat Burp).
  
• Jython Burp API - hozzáférést biztosít interfészeket böfög Extender jython (Python végrehajtás Java);
  

Nemrég kaptam egy oldal, amely blokkolja a látogató IP, ha ez a tett a gyanús tevékenységet. A módját, hogy megkerülje ezt a védelmet találtak szinte azonnal - szükséges volt csak hozzá az összes HTTP-csomag fejléc X-Forwarded-Egy véletlen IP. Azonban Burp végre ilyen feldolgozás kimenő csomagokat az összes eszköz, különösen a Proxy, Spider és a Repeater lehetetlennek bizonyult. És itt jön a támogatás a Jython Burp API, amely lehetővé tette, elég gyorsan a kívánt eredményt. Úgy kell telepíteni a Java Development Kit és Jython 2.7, akkor az aktuális könyvtárat a forráskódot fordítjuk Burp Jython Burp API a következő parancsot:

Kérések feldolgozásához hosszabbítást kell végrehajtani interfészek megfelelő eszközök Burp (például IProxyRequestHandler, ISpiderRequestHandler stb), és processRequest módszer. Ennek eredményeképpen megkapjuk a következő kiterjesztés:

Extension került a lib / GDS / burpext mappa a szükséges __init__.py:

Az összes bővítmény regisztrált burp.ini, az én esetemben ez szükséges volt hozzá a következő sorokat:

Végül, a dob:

Ennek eredményeként az a rés funkcionalitás Burp kiesett. Remélem, ez a kézikönyv segít, aki meg akarja kezdeni kiterjesztéseket írni Burp Python.

Ui Azok számára, akik írni Java megjegyzem, a legfrissebb cikkeket angolul a szervezet a környezet fejlesztésére a Burp a Java.