Home > Uncategorized > Burp Pro แพงไปใช้อะไรดี?

Burp Pro แพงไปใช้อะไรดี?

รู้จัก Burp Suite กันก่อน

ในสายงานด้าน Security เชื่อว่าหลาย ๆ ท่านคงรู้จักเครื่องมือที่ชื่อว่า Burp Suite กันอยู่แล้ว โดยเฉพาะผู้ที่ทำอาชีพ Penetration Tester (นักทดสอบเจาะระบบ) อย่างไรก็ดีบางท่านอาจเพิ่งเคยได้ยินเป็นครั้งแรก ตรงจุดนั้นไม่ใช่ปัญหา เดี๋ยวผมจะอธิบายก่อนซักเล็กน้อย เพื่อที่จะได้ไม่อ่านบทความนี้แล้วงงจนเกินไป

Burp Suite เป็นเครื่องมือที่นิยมใช้ในการทำ Penetration Testing (ทดสอบเจาะระบบ) ส่วนใหญ่ใช้กับ Platform ประเภท Web Application และ Mobile Application โดยหลักการทำงานของมันคือทำตัวเองเป็น Proxy Server ขั้นกลางระหว่าง Client และ Server โดยให้ Platform ที่เราต้องการดักจับข้อมูล ส่งมาที่ Burp Suite 

คำถามถัดมา “ทำไปทำไม?” คำตอบคือในหลาย ๆ เคส เราต้องการเห็นว่า Application ที่เรากำลังใช้อยู่นั้นมีการรับส่งข้อมูลไปยัง Server อย่างไรบ้าง มีค่าอะไรบ้างที่ถูกส่งไป หรือมีค่าอะไรที่ถูกส่งมา เพื่อที่จะได้นำข้อมูลเหล่านั้นมาใช้ในการทำทดสอบทางด้านความปลอดภัย

ในปัจจุบันทาง Portswigger ได้แบ่งเจ้า Burp Suite ออกเป็น 3 รุ่น ได้แก่:

  • Burp Suite Community Edition (ใช้ฟรี แต่มีข้อจำกัดในบาง Feature)
  • Burp Suite Professional (เสียเงินรายเดือน/รายปี Feature ครบครันเน้นไปที่งาน VA/Pentest)
  • Burp Suite Enterprise (เสียเงินรายปี Feature เน้นไปที่งาน CI/CD)

สำหรับรุ่น Community Edition ที่เป็นรุ่นฟรีจะมีข้อจำกัดหลายอย่าง ไม่ว่าจะเป็น Scan VA ไม่ได้ หรือแม้กระทั่ง Save Project ไม่ได้ อันหลังนี่สำคัญมาก เพราะในการทำงานเราจำเป็นต้องมีหลักฐานว่าเราทำอะไรไปบ้างในเวลาไหน และยังช่วยลดเวลาตอน Retest ไปอีกด้วย

เนื่องจากกระเป๋าตังเราไม่เท่ากัน ทางผมเลยขอเสนอทางเลือกอื่น ๆ ที่อาจสามารถทดแทน Burp Suite รุ่น Community Edition ได้ ซึ่งเครื่องอื่น ๆ ที่ผมจะนำเสนอในบทความนี้ จะเป็นแบบฟรีทั้งนั้น สบายกระเป๋าตังพวกท่านแน่นอน

HTTP Interceptor (free)

โอเค ทีนี้มาถึงเครื่องมือ (tool) ที่เราจะมาแนะนำนอกเหนือจาก Burp Suite กันบ้าง แต่ละเครื่องมือจะมีจุดเด่นจุดด้อย และข้อจำกัดที่ต่างกัน เราค่อย ๆ ไปดูทีละเครื่องมือกันดีกว่า จะได้รู้ว่าเครื่องมืออันไหนเหมาะ หรือไม่เหมาะกับสถานการณ์แบบใด

เครื่องมือที่ผมจะพูดถึงคือ 2 ตัวนี้:

  • OWASP Zed Attack Proxy (ZAP)
  • HETTY

OWASP Zed Attack Proxy (ZAP)

เจ้าเครื่องมือที่ชื่อว่า OWASP Zed Attack Proxy หรือเรียกย่อ ๆ ว่า ZAP เป็นเครื่องมือ Open-Source และใช้งานได้ฟรีไม่เสียตังใด ๆ หากเราอยากช่วย Contribute ก็สามารถไปที่ Link นี้ ได้เลย 

เจ้า ZAP เนี่ยเป็นเครื่องมือที่มีความใกล้เคียงกับ Burp Suite Pro มากที่สุด แค่ UX มันอาจจะไม่เป็นมิตรกับคนส่วนใหญ่เท่านั้นเอง แต่พอใช้ชินแล้วก็แทบไม่ได้ต่างจาก Burp Suite Pro เลย ไมว่าจะเป็นการ Save Project, Intruder ที่ไม่ได้จำกัดแบบ Burp Community, ตัว Collaborator ที่มักใช้ในการทดสอบช่องโหว่ SSRF แต่ทาง ZAP จะใช้ Add-on ที่ชื่อว่า OAST Support หรือแม้กระทั่งการแสกน VA ก็ทำได้เช่นกัน

แต่ทีเด็ดของ ZAP ที่เหนือกว่า Burp คือ Feature HUD ครับ เรามาดูกันดีกว่าว่า Feature นี้มันมีดีอะไร? ก่อนที่เราจะพูดถึง HUD เราลองมาพูดถึงการใช้งาน Burp Suite แบบปถุชนทั่วไปกันก่อน เวลาเราจะ Intercept อะไร ณ ขณะนั้นเราจำเป็นต้องกด Intercept On ก่อน เพื่อที่จะได้ดัก Request ก่อนไปถึง Server (บางครั้งอาจมีกรณีดัก Response) ในหลาย ๆ ครั้ง เราอาจจะต้องสลับหน้าไปมาระหว่าง Burp กัน Browser เพื่อสังเกตุการเปลี่ยนแปลง แน่นอนสิ่งนี้ทำให้หลาย ๆ คนเกิดอาการ “มึน” เหล่า Cummunity ทั้งหลายของ ZAP มองเห็นปัญหานี้จึงช่วยพัฒนา Feature ที่ชื่อ HUD ขึ้นมาเพื่อสามารถทำกิจกรรมต่าง ๆ ได้ โดยยังอยู่หน้าเว็บนั้น ๆ ไม่ต้องสลับไปมาระหว่างโปรแกรม Intercept กับ Web Browse ถ้าใครมองไม่เห็นภาพแนะนำให้ได้ Youtube ด้านล่างคร่ว ๆ ได้เลยครับ

“Introducing the OWASP ZAP Heads Up Display (HUD)” – Simon Bennetts

HETTY

เครื่องมือถัดไปที่ผมจะแนะนำให้รู้จักคือ HETTY ซึ่งเป็น Open-Source ที่อยู่บน Github แถมยังฟรีไม่ต่างจากเครื่องมือก่อนหน้า แม้อายุของ HETTY จะยังไม่แก่เท่ารุ่นพี่อย่าง Burp หรือ ZAP แต่มันความโดดเด่นในแบบฉบับของมันเหมือนกัน

อย่างแรกที่สังเกตุได้จะภาพด้านบนเลยคือ “หน้าตา” ครับ แม้โลกเราจะมี Trend เข้าสู่ Beauty Standard แต่มันไม่ได้เกิดขึ้นกับวงการซอร์ฟแวร์ครับ แม้ ZAP จะเป็นเครื่องมือที่ดีมาก ๆ ตัวหนึ่ง ที่มีความสามารถได้ภาพรวมไม่ได้ด้อยไปกว่า Burp รุ่น Professional แต่ข้อเสียที่สังเกตุได้ของมันคือ UI ไม่สวย และ UX ที่ใช้ยาก ไม่เป็นมิตรต่อ User สิ่งนี้ทำให้หลาย ๆ คนถอยห่างจาก ZAP แล้วยอมกลับไปใช้ Burp รุ่น Community แทน

เจ้าของ Project HETTY เห็นปัญหานี้ จึงได้ช่วยกันพัฒนาเจ้า HETTY ขึ้นมา เจ้าตัวมีความโดดเด่นที่ UX/UI แม้จำนวน Function ตอนนี้ยังไม่อาจสู้พี่ใหญ่อย่าง Burp และ ZAP ได้ แต่โดยรวมแล้ว Function หลัก ๆ อย่างการ Save Project ได้ และใช้ Repeater ได้ ก็เพียงพอต่อการทำงานส่วนใหญ่แล้ว หากใครอยากเน้น UI/UX ดี ๆ ไม่ได้อยากใช้ Feature อะไรมากมาย แนะนำให้ลองใช้ HETTY ดูครับ ถือเป็นทางเลือกหนึ่งที่ดีเหมือนกัน

สรุปแล้วใช้อะไรดี

ที่นี้มาถึงข้อสรุปกันแล้วว่าจะใช้อะไรดี? จริง ๆ ไม่มีคำตอบตายตัวครับ ขึ้นอยู่กับท่านผู้อ่านว่าอยากไปในแนวทางไหน หากท่านต้องการที่ใช้เครื่องมือครบ ๆ ไม่เน้นสวยหรือใช้ง่าย การใช้ ZAP ถือเป็นทางเลือกที่ดีมากอันหนึ่ง แต่ถ้าไม่ได้อยากได้เครื่องมือครบ ๆ  แค่อยากเน้นสวย Save Project ได้ และใช้ Repeater ได้ก็พอ ส่วนตัวผมว่า HETTY ถือว่าเป็นทางเลือกที่ไม่เลวนัก

สุดท้ายนี้เครื่องมือทุกชนิดในปัจจุบัน ไม่ใช่ AI ขั้นเทพแบบ Jarvis ในหนัง Iron Man มันจะไม่มีประโยชน์ใด ๆ เลยหากท่านไม่เข้าใจถึงช่องโหว่ต่าง ๆ ว่ามีที่มาที่ไปอย่างไร หรือต้องใช้ท่าแบบไหนในการโจมตี เครื่องมือเหล่านี้เป็นเพียงเครื่องทุ่นแรงให้ท่านทำงานได้สะดวกมากขึ้น หากท่านไม่ใช่ผู้เชี่ยวชาญทางด้านสายงานนี้ท่านอาจจะต้องใช้เวลาเรียนรู้ซักหน่อย หากที่ไม่มีเวลาเรียนรู้ทางเรามีอีกตัวเลือกให้ท่าน คือจ้าง CloudSec Asia ในการทำทดสอบเจาะระบบ (Penetration Testing) ทางเรามีผู้เชี่ยวชาญมากมาย ที่จะทำให้ระบบในองค์กรของท่านปลอดภัยมากขึ้น ลดความเสี่ยงทั้งด้าน Technical และ Business พร้อมทั้งให้คำปรึกษาต่าง ๆ ในด้าน Cyber Security อย่างครบวงจร

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

References:

https://portswigger.net/burp
https://www.zaproxy.org/docs/burp-to-zap-feature-map/
https://hetty.xyz/
https://github.com/dstotijn/hetty