Security
Burp Suite ทดสอบเว็บเบื้องต้น
Burp Suite: เครื่องมือคู่ใจสาย Security ทดสอบเว็บเบื้องต้น
Burp Suite เนี่ย สมัยผมทำร้านเน็ตฯ ยังไม่มีหรอกครับ (ฮา) แต่ตอนนี้ขาดไม่ได้เลยสำหรับคนที่ทำงานด้าน Security หรือแม้แต่ Developer ที่อยากเขียนเว็บให้ปลอดภัย Burp Suite มันคือชุดเครื่องมือ (Toolkit) ที่เอาไว้ทดสอบความปลอดภัยของเว็บแอปพลิเคชัน ครอบคลุมตั้งแต่การดักจับข้อมูล (Proxy), สแกนหาช่องโหว่ (Scanner), ไปจนถึงการเจาะระบบ (Intruder) เลยทีเดียว
ทำไมมันถึงสำคัญ? ลองคิดดูว่าถ้าเว็บเรามีช่องโหว่ แล้วโดนแฮกเกอร์เข้ามาขโมยข้อมูลลูกค้าไป จะเกิดอะไรขึ้น เสียหายทั้งชื่อเสียง เสียหายทั้งเงินทอง Burp Suite ช่วยให้เราหาช่องโหว่พวกนั้นเจอ ก่อนที่คนร้ายจะเจอครับ
Burp Suite มีอะไรให้เล่นบ้าง?
Burp Suite มันมีหลาย Edition นะครับ ตั้งแต่ Community (ฟรี), Professional (เสียเงิน), ไปจนถึง Enterprise (สำหรับองค์กรใหญ่ๆ) แต่ละ Edition ก็จะมี Feature ที่แตกต่างกันไป หลักๆ ที่เราจะได้ใช้กันบ่อยๆ ก็คือ:
- Proxy: ดักจับและแก้ไข HTTP/HTTPS traffic ระหว่าง Browser กับ Web Server
- Scanner: สแกนหาช่องโหว่อัตโนมัติ เช่น SQL Injection, XSS
- Intruder: ใช้ brute-force หรือ fuzzing เพื่อเจาะระบบ
- Repeater: ส่ง HTTP request ซ้ำๆ เพื่อทดสอบ Server
- Sequencer: วิเคราะห์ความแข็งแกร่งของ Token ที่ใช้ในการ Authentication
- Decoder: แปลงข้อมูล Encoding/Decoding เช่น URL, Base64
- Comparer: เปรียบเทียบข้อมูลสองชุด เพื่อหาความแตกต่าง
เยอะแยะไปหมดใช่ไหมครับ? ไม่ต้องตกใจ ค่อยๆ เรียนรู้ไปทีละอย่างก็ได้ เริ่มจาก Proxy ก่อนเลยง่ายสุด
Burp Suite Proxy: ดักจับและแก้ไข HTTP Traffic
Burp Proxy นี่แหละคือพระเอกของเรา มันทำหน้าที่เป็นตัวกลางระหว่าง Browser ของเรากับ Web Server เวลาที่เราเข้าเว็บอะไรก็ตาม Burp Proxy จะดักจับ HTTP Request และ Response ที่ส่งไปมา ทำให้เราเห็นข้อมูลทั้งหมด และสามารถแก้ไขข้อมูลก่อนที่จะส่งต่อไปได้ด้วย
วิธีใช้งาน Burp Proxy แบบ Step-by-Step
- ติดตั้ง Burp Suite: โหลดได้จาก เว็บไซต์ PortSwigger เลือก Edition ที่ต้องการ (Community ก็ใช้ได้ดีเลยครับ)
- ตั้งค่า Browser ให้ใช้ Burp Proxy: ปกติ Burp Proxy จะรันอยู่ที่
127.0.0.1:8080เราต้องไปตั้งค่า Browser ให้ใช้ Proxy Server นี้ วิธีการก็แล้วแต่ Browser ที่ใช้ครับ# ตัวอย่างการตั้งค่า Proxy ใน Firefox Settings -> Network Settings -> Manual proxy configuration HTTP Proxy: 127.0.0.1 Port: 8080 Use this proxy server for all protocols - เปิด Burp Suite แล้วไปที่ Tab "Proxy": จะเห็น Request ที่ Browser ส่งมา
- Intercept is on: ถ้าปุ่มนี้เปิดอยู่ Burp จะหยุด Request ไว้ให้เราแก้ไข ถ้าปิดอยู่ Request จะถูกส่งต่อไป Server เลย
- แก้ไข Request (ถ้าต้องการ): เราสามารถแก้ไข HTTP Header, Cookie, Parameters อะไรก็ได้ตามต้องการ
- คลิก "Forward" เพื่อส่ง Request ต่อ: หรือ "Drop" เพื่อยกเลิก Request นั้น
ลองเล่นดูครับ ง่ายกว่าที่คิดเยอะเลย พอเราเข้าใจหลักการทำงานของ Proxy แล้ว เราจะสามารถใช้มันเพื่อทดสอบอะไรได้หลายอย่าง เช่น:
- แก้ไข HTTP Header: ลองเปลี่ยน User-Agent เพื่อดูว่า Server ตอบสนองยังไง
- แก้ไข Cookie: ลองเปลี่ยน Cookie เพื่อดูว่าเราสามารถเข้าถึงส่วนที่ไม่ควรเข้าถึงได้ไหม
- แก้ไข Parameters: ลองเปลี่ยน Parameters ใน URL เพื่อดูว่ามีช่องโหว่ SQL Injection หรือ XSS ไหม
ตารางเปรียบเทียบ Burp Suite Editions
| Feature | Community Edition | Professional Edition | Enterprise Edition |
|---|---|---|---|
| Web Vulnerability Scanner | Manual Only | Automated | Automated, Scalable |
| Intruder | Rate Limited | Unlimited | Unlimited |
| Collaborator Server | Limited | Full | Full |
| Price | Free | Subscription | Subscription |
เลือก Edition ที่เหมาะกับความต้องการของเราครับ ถ้าเพิ่งเริ่มต้น Community Edition ก็เพียงพอแล้ว
Burp Suite Scanner: สแกนหาช่องโหว่อัตโนมัติ
หลังจากที่เราคล่องกับการใช้ Proxy แล้ว เราก็มาลองใช้ Scanner กัน Scanner เป็นเครื่องมือที่ช่วยให้เราสแกนหาช่องโหว่ในเว็บแอปพลิเคชันได้แบบอัตโนมัติ มันจะส่ง Request ต่างๆ ไปยัง Server แล้ววิเคราะห์ Response ที่ได้ เพื่อหาช่องโหว่ที่เป็นไปได้
วิธีใช้งาน Burp Scanner แบบง่ายๆ
- ต้องใช้ Burp Suite Professional: Community Edition ไม่มี Scanner นะครับ
- ตั้งค่า Proxy ให้เหมือนเดิม: เพื่อให้ Scanner สามารถดักจับ Traffic ได้
- Browse ไปยัง Web Application ที่ต้องการ Scan: ผ่าน Browser ที่ตั้งค่า Proxy ไว้
- คลิกขวาที่ Request ใน Burp Proxy แล้วเลือก "Do active scan": Burp จะเริ่มสแกนหาช่องโหว่โดยอัตโนมัติ
- รอให้ Scan เสร็จ: ใช้เวลานานแค่ไหนขึ้นอยู่กับขนาดและความซับซ้อนของ Web Application
- ดูผลการ Scan ใน Tab "Issues": Burp จะแสดงรายการช่องโหว่ที่ตรวจพบ พร้อมรายละเอียดและคำแนะนำในการแก้ไข
Scanner มันไม่ได้แม่นยำ 100% นะครับ มันอาจจะเจอ False Positive (แจ้งเตือนผิด) หรือพลาดช่องโหว่บางอย่างไป เราต้องตรวจสอบผลการ Scan อย่างละเอียด และทดสอบด้วยตัวเองอีกครั้ง เพื่อให้แน่ใจว่าช่องโหว่นั้นมีอยู่จริง
Burp Suite เป็นเครื่องมือที่ทรงพลัง แต่ก็ต้องใช้เวลาในการเรียนรู้และฝึกฝน อย่าท้อแท้ครับ ค่อยๆ เรียนรู้ไปทีละส่วน แล้วเราจะสามารถใช้มันเพื่อสร้างเว็บแอปพลิเคชันที่ปลอดภัยได้แน่นอน
สำหรับใครที่อยากรู้เรื่อง Security เพิ่มเติม ลองแวะไปอ่านบทความอื่นๆ ใน SiamCafe Blog ดูได้นะครับ
FAQ: คำถามที่พบบ่อยเกี่ยวกับ Burp Suite
- Burp Suite Community Edition ทำอะไรได้บ้าง?
- Burp Suite Community Edition สามารถใช้ Proxy, Repeater, Decoder, Comparer ได้ แต่จะไม่มี Scanner และ Intruder
- Burp Suite Professional คุ้มค่าที่จะซื้อไหม?
- ถ้าทำงานด้าน Security จริงจัง หรือต้องทดสอบเว็บแอปพลิเคชันเป็นประจำ Burp Suite Professional คุ้มค่าแน่นอน เพราะมี Scanner และ Intruder ที่ช่วยประหยัดเวลาได้เยอะ
- Burp Suite ใช้ยากไหม?
- Burp Suite มี Feature เยอะ อาจจะดูซับซ้อนในช่วงแรก แต่ถ้าค่อยๆ เรียนรู้ไปทีละส่วน ก็ไม่ยากเกินไปครับ มี Tutorial และ Documentation ให้ศึกษาเยอะแยะ
- มีเครื่องมืออื่นที่ทำหน้าที่คล้าย Burp Suite ไหม?
- มีครับ เช่น OWASP ZAP, Acunetix แต่ Burp Suite เป็นที่นิยมมากที่สุด
หวังว่าบทความนี้จะเป็นประโยชน์นะครับ ถ้ามีคำถามอะไรเพิ่มเติม ถามมาได้เลย
อย่าลืมติดตาม SiamCafe Blog เพื่ออ่านบทความดีๆ เกี่ยวกับ IT และ Security กันต่อไปนะครับ
🎬 วิดีโอแนะนำ
ดูวิดีโอเพิ่มเติมเกี่ยวกับBurp Suite ทดสอบเว็บเบื้องต้น:
Best Practices ในการใช้ Burp Suite
ตั้งเป้าหมายให้ชัดเจน
สมัยผมทำร้านเน็ตฯ สิ่งแรกที่ต้องทำก่อนลงมือคือ "เป้าหมาย" ชัดๆ ครับ จะทดสอบอะไร? ช่องโหว่แบบไหน? โฟกัสไปเลย อย่าหว่านแห เพราะ Burp Suite มันเครื่องมือใหญ่ ถ้าไม่รู้จะทำอะไร อาจจะงงแล้วท้อไปก่อน
เริ่มจาก Scope ที่เล็กก่อน
อย่าเพิ่งไป Scan เว็บทั้งเว็บ! เริ่มจาก Function เล็กๆ ที่เราสนใจก่อน เช่น ระบบ Login, Form สมัครสมาชิก หรือ API บางตัว แล้วค่อยๆ ขยาย Scope ไปเรื่อยๆ ครับ
Review ผลการ Scan อย่างละเอียด
Burp Suite มันเก่งจริง แต่ก็ไม่ได้ฉลาด 100% ต้องอ่านผลการ Scan อย่างละเอียด อย่าเชื่อทุกอย่างที่มันบอก ต้องคิดวิเคราะห์ตามด้วยว่ามัน Make Sense หรือเปล่า
ใช้ Burp Collaborator Client ช่วย
ฟีเจอร์นี้เทพมาก! มันจะช่วย Detect ช่องโหว่ Blind Injection ได้ดีมากๆ ลองศึกษาดูครับ แล้วจะติดใจ
# ตัวอย่างการ Config Burp Collaborator Client
1. Enable Burp Collaborator Client
2. Configure Collaborator Server Location
3. Integrate with Burp Scanner or Manual Testing
FAQ คำถามที่พบบ่อย
Burp Suite ฟรี กับ Pro ต่างกันยังไง?
รุ่นฟรีก็ใช้ได้ดีในระดับนึงครับ แต่รุ่น Pro จะมี Feature เยอะกว่ามาก เช่น Scanner ที่ฉลาดกว่า, Intruder ที่แรงกว่า, และ Extension ที่หลากหลายกว่า ถ้าจะเอาจริงเอาจัง ผมแนะนำ Pro ครับ คุ้มค่ากว่าแน่นอน ที่ iCafeForex เราใช้ตัว Pro เป็นหลัก
Burp Suite กิน Spec เครื่องเยอะไหม?
กินพอสมควรครับ ยิ่ง Scan เว็บใหญ่ๆ ยิ่งกิน RAM กับ CPU แนะนำให้มี RAM อย่างน้อย 8GB ขึ้นไป และใช้ CPU ที่แรงพอสมควร
Scan เว็บแล้วโดน Block ทำยังไง?
เป็นเรื่องปกติครับ บางเว็บจะมีระบบป้องกันการ Scan ถ้าโดน Block ลองปรับ Traffic Shaping ใน Burp Suite ให้ช้าลง หรือใช้ Proxy หลายๆ ตัว เพื่อหลบเลี่ยงการ Block
# ตัวอย่างการปรับ Traffic Shaping
Options -> Throttle Network Speed
Burp Suite ใช้กับ Mobile App ได้ไหม?
ได้ครับ ต้อง Config Proxy ให้มือถือชี้มาที่ Burp Suite ก่อน แล้วค่อย Install Certificate ของ Burp Suite ในมือถือ
มีแหล่งเรียนรู้ Burp Suite เพิ่มเติมไหม?
มีเยอะแยะครับ ทั้งใน YouTube, Blog, และ Course Online ลอง Search ดูครับ หรือจะลองดู SiamCafe Blog ก็ได้ เผื่อมีอะไรน่าสนใจ
สรุป
Burp Suite เป็นเครื่องมือที่ทรงพลังมากสำหรับการทดสอบความปลอดภัยของเว็บ แต่ต้องใช้เวลาเรียนรู้และฝึกฝนครับ อย่าท้อแท้ ถ้าเจอปัญหา ลอง Search หาข้อมูล หรือถามผู้รู้ อย่ากลัวที่จะลองผิดลองถูก เพราะการเรียนรู้ที่ดีที่สุดคือการลงมือทำจริง
