Burp Suite Pro สำหรับมือใหม่ Step by Step —
Burp Suite Pro
Burp Suite Pro Web Penetration Testing Proxy Scanner Intruder Repeater OWASP Top 10 PortSwigger ทดสอบเจาะระบบ
| เครื่องมือ | หน้าที่ | ใช้เมื่อ | Edition |
|---|---|---|---|
| Proxy | ดักจับ HTTP/HTTPS Traffic | ทุกครั้ง เป็นพื้นฐาน | Community + Pro |
| Scanner | สแกนช่องโหว่อัตโนมัติ | หา Vuln เบื้องต้น | Pro Only |
| Intruder | Brute Force Fuzzing | ทดสอบ Input Validation | Community (ช้า) + Pro |
| Repeater | ส่ง Request ซ้ำแก้ไขได้ | ทดสอบ Vuln ด้วยมือ | Community + Pro |
| Decoder | เข้า/ถอดรหัส | วิเคราะห์ Encoded Data | Community + Pro |
| Comparer | เปรียบเทียบ Response | หา Difference | Community + Pro |
ติดตั้งและตั้งค่า
# === Burp Suite Setup Guide ===
from dataclasses import dataclass
@dataclass
class SetupStep:
step: int
action: str
detail: str
command: str
verify: str
steps = [
SetupStep(1, "ดาวน์โหลด Burp Suite",
"ไปที่ portswigger.net/burp/releases ดาวน์โหลด Pro หรือ Community",
"# ดาวน์โหลดจากเว็บ หรือ\n# brew install --cask burp-suite (macOS)",
"เปิด Burp Suite ได้สำเร็จ"),
SetupStep(2, "ตั้งค่า Proxy Listener",
"Proxy Tab → Options → Proxy Listeners → 127.0.0.1:8080",
"# Default: 127.0.0.1:8080\n# เปลี่ยนได้ถ้า Port ชนกัน",
"Listener แสดง Running"),
SetupStep(3, "ตั้งค่า Browser Proxy",
"Firefox: Settings → Network → Manual Proxy → 127.0.0.1:8080",
"# Firefox แนะนำ เพราะแยก Proxy จาก System\n# หรือใช้ FoxyProxy Extension",
"เปิดเว็บแล้วเห็น Request ใน Burp"),
SetupStep(4, "ติดตั้ง CA Certificate",
"เปิด http://burp ใน Browser → ดาวน์โหลด CA Certificate → ติดตั้ง",
"# Firefox: Settings → Certificates → Import → cacert.der\n# Chrome: Settings → Security → Manage Certificates",
"เปิด HTTPS ไม่มี Warning"),
SetupStep(5, "ตั้ง Scope",
"Target Tab → Scope → Add Target URL ที่ได้รับอนุญาต",
"# Add: https://target.example.com\n# ตั้ง 'Use advanced scope control'",
"เห็นเฉพาะ Traffic ของ Target"),
SetupStep(6, "เริ่มทดสอบ",
"เปิด Intercept ON → Browse Target → ดู Request ใน Proxy",
"# Intercept ON/OFF สลับได้\n# Forward = ส่งต่อ, Drop = ทิ้ง",
"เห็น Request สามารถแก้ไขได้"),
]
print("=== Setup Steps ===")
for s in steps:
print(f"\n Step {s.step}: {s.action}")
print(f" Detail: {s.detail}")
print(f" Command: {s.command}")
print(f" Verify: {s.verify}")OWASP Top 10 Testing
# === OWASP Top 10 with Burp Suite ===
@dataclass
class OWASPTest:
vuln: str
burp_tool: str
how_to_test: str
payload_example: str
severity: str
tests = [
OWASPTest("A01: Broken Access Control",
"Proxy + Repeater + Autorize Extension",
"Login User A แก้ ID เป็น User B ดูว่าเข้าถึงได้ไหม",
"GET /api/users/2 (เปลี่ยนจาก /users/1)",
"Critical"),
OWASPTest("A02: Cryptographic Failures",
"Proxy + Scanner (Passive)",
"ดู Response Header ว่ามี Sensitive Data ใน Plaintext ไหม",
"ดู Set-Cookie ว่ามี Secure HttpOnly Flag",
"High"),
OWASPTest("A03: Injection (SQLi/XSS)",
"Scanner + Intruder + Repeater",
"ใส่ SQL Payload ใน Input ดู Response Error",
"' OR 1=1-- / ",
"Critical"),
OWASPTest("A05: Security Misconfiguration",
"Scanner (Passive) + Manual",
"ดู Response Header, Error Page, Directory Listing",
"ดู Server Header, X-Powered-By, Stack Trace",
"Medium-High"),
OWASPTest("A07: Identification & Auth Failures",
"Intruder (Brute Force) + Sequencer",
"Brute Force Login, ทดสอบ Session Token Randomness",
"Intruder: Username/Password Wordlist",
"High"),
OWASPTest("A10: SSRF",
"Repeater + Collaborator",
"ใส่ URL ของ Burp Collaborator ใน Parameter ดูว่า Server Fetch",
"url=http://collaborator.example.com",
"High-Critical"),
]
print("=== OWASP Top 10 Testing ===")
for t in tests:
print(f"\n [{t.vuln}]")
print(f" Tool: {t.burp_tool}")
print(f" Test: {t.how_to_test}")
print(f" Payload: {t.payload_example}")
print(f" Severity: {t.severity}")Extensions แนะนำ
# === Recommended Extensions ===
@dataclass
class Extension:
name: str
purpose: str
install: str
use_case: str
extensions = [
Extension("Autorize",
"ทดสอบ Broken Access Control อัตโนมัติ",
"BApp Store → Search Autorize → Install",
"Login Low-priv User ให้ Autorize ทดสอบ Request ของ Admin"),
Extension("Logger++",
"บันทึก HTTP Traffic ละเอียดกว่า HTTP History",
"BApp Store → Search Logger++ → Install",
"Filter ดู Request ที่สนใจ Export CSV"),
Extension("Param Miner",
"หา Hidden Parameter ที่ไม่เห็นใน UI",
"BApp Store → Search Param Miner → Install",
"หา Debug Parameter, Hidden API Endpoint"),
Extension("Hackvertor",
"Encode/Decode/Transform Data หลายรูปแบบ",
"BApp Store → Search Hackvertor → Install",
"แปลง Payload เป็น Base64 URL Encode Hex ใน Repeater"),
Extension("Active Scan++",
"เพิ่มความสามารถ Scanner หา Vuln เพิ่มเติม",
"BApp Store → Search Active Scan++ → Install",
"หา Host Header Injection, Cache Poisoning"),
Extension("JWT Editor",
"แก้ไข JWT Token ทดสอบ Algorithm Confusion",
"BApp Store → Search JWT Editor → Install",
"แก้ JWT Payload, เปลี่ยน Algorithm none/HS256"),
]
print("=== Recommended Extensions ===")
for e in extensions:
print(f" [{e.name}] {e.purpose}")
print(f" Install: {e.install}")
print(f" Use: {e.use_case}")เคล็ดลับ
- Scope: ตั้ง Scope เสมอ ทดสอบเฉพาะ Target ที่ได้รับอนุญาต
- Repeater: ใช้ Repeater มากที่สุด เข้าใจ Request Response ดีที่สุด
- Passive First: เริ่ม Passive Scan ก่อน Active Scan
- Extensions: ติดตั้ง Autorize Logger++ Param Miner เป็นอย่างน้อย
- Legal: ทดสอบเฉพาะ Target ที่ได้รับอนุญาตเป็นลายลักษณ์อักษร
การนำความรู้ไปประยุกต์ใช้งานจริง
แหล่งเรียนรู้ที่แนะนำ ได้แก่ Official Documentation ที่อัพเดทล่าสุดเสมอ Online Course จาก Coursera Udemy edX ช่อง YouTube คุณภาพทั้งไทยและอังกฤษ และ Community อย่าง Discord Reddit Stack Overflow ที่ช่วยแลกเปลี่ยนประสบการณ์กับนักพัฒนาทั่วโลก
เนื้อหาเกี่ยวข้อง — ดูเพิ่มเติมเรื่อง Mintlify Docs กับ High Availability Setup —
Burp Suite คืออะไร
Web Penetration Testing Tool PortSwigger Proxy Scanner Intruder Repeater Decoder ดักจับ HTTP HTTPS OWASP Top 10 Community Pro
ติดตั้งและตั้งค่าอย่างไร
portswigger.net ดาวน์โหลด Proxy 127.0.0.1:8080 Browser Proxy CA Certificate http://burp Scope Target Intercept ON/OFF
แนะนำเพิ่มเติม — คอร์สเทรด Forex ที่ iCafeForex
เนื้อหาเกี่ยวข้อง — Prometheus Alertmanager Tech Conference 2026
ใช้ Scanner อย่างไร
Pro Only Active Scan Passive Scan SQL Injection XSS SSRF Configuration Speed Accuracy Dashboard Severity Report HTML XML Staging
เนื้อหาเกี่ยวข้อง — ทำความเข้าใจ Python Pydantic Disaster Recovery Plan
เครื่องมือสำคัญมีอะไร
Proxy Intercept Repeater แก้ Request Intruder Brute Force Decoder Encode Comparer Sequencer Token Extensions Autorize Logger++ Param Miner
แนะนำเพิ่มเติม — หนังสือเทรดที่ SiamCafeBook
สรุป
Burp Suite Pro Proxy Scanner Intruder Repeater OWASP Top 10 SQL Injection XSS SSRF Access Control Extensions Autorize Penetration Testing
เนื้อหาเกี่ยวข้อง — อ่านต่อ: Elasticsearch OpenSearch Service Level Objective
