如何設(shè)置外部數(shù)據(jù)庫(kù)

在本節(jié)中，我們將向您展示如何設(shè)置要連接到Burp Suite Enterprise Edition的數(shù)據(jù)庫(kù)。這與下列情況有關(guān)：

1、您一直在使用Burp Suite企業(yè)版的嵌入式數(shù)據(jù)庫(kù)，并希望將數(shù)據(jù)傳輸?shù)酵獠繑?shù)據(jù)庫(kù)。

2、您希望創(chuàng)建Burp Suite Enterprise Edition的標(biāo)準(zhǔn)部署，并從一開始就使用外部數(shù)據(jù)庫(kù)。

3、您想要將Burp Suite Enterprise Edition部署到Kubernetes。

為Burp Suite Enterprise Edition準(zhǔn)備數(shù)據(jù)庫(kù)涉及以下高級(jí)步驟：

連接到數(shù)據(jù)庫(kù)服務(wù)器

為您的數(shù)據(jù)庫(kù)類型運(yùn)行安裝腳本。這將為Burp Suite企業(yè)版創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)和兩個(gè)用戶。

記下數(shù)據(jù)庫(kù)的連接URL。您稍后將需要此文件來(lái)連接Burp Suite企業(yè)版。

數(shù)據(jù)庫(kù)設(shè)置腳本

   下面的安裝腳本創(chuàng)建了一個(gè)新的數(shù)據(jù)庫(kù)和兩個(gè)用戶：burp_enterprise和burp_agent。這些由企業(yè)服務(wù)器和掃描計(jì)算機(jī)用于連接到數(shù)據(jù)庫(kù)。如果您設(shè)置此數(shù)據(jù)庫(kù)是為了從嵌入式數(shù)據(jù)庫(kù)遷移，則必須使用這些確切的用戶名。

您應(yīng)該將示例腳本中使用的占位符********字符串替換為您自己的強(qiáng)密碼。

PostgreSQL。

Oracle.

MariaDB / MySQL.

Microsoft SQL Server。

注意

不支持AWS Aurora數(shù)據(jù)庫(kù)。

PostgreSQL

CREATE DATABASE burp_enterprise; CREATE USER burp_enterprise PASSWORD '********'; CREATE USER burp_agent PASSWORD '********'; GRANT ALL ON DATABASE burp_enterprise TO burp_enterprise; \c burp_enterprise postgres GRANT ALL ON SCHEMA public TO burp_enterprise;

Oracle

CREATE TABLESPACE burp_enterprise_tabspace; CREATE USER burp_enterprise DEFAULT TABLESPACE burp_enterprise_tabspace QUOTA UNLIMITED ON burp_enterprise_tabspace IDENTIFIED BY ********; GRANT CREATE PROCEDURE, CREATE SEQUENCE, CREATE SESSION, CREATE TABLE, CREATE TRIGGER, CREATE SYNONYM, CREATE PUBLIC SYNONYM, DROP PUBLIC SYNONYM TO burp_enterprise; CREATE USER burp_agent IDENTIFIED BY ********; GRANT CREATE SESSION to burp_agent;

MariaDB / MySQL

CREATE DATABASE burp_enterprise CHARACTER SET = 'utf8mb4' COLLATE = 'utf8mb4_unicode_ci'; CREATE USER 'burp_enterprise'@'%' IDENTIFIED BY '********'; CREATE USER 'burp_agent'@'%' IDENTIFIED BY '********'; GRANT ALL PRIVILEGES ON burp_enterprise.* TO 'burp_enterprise'@'%' WITH GRANT OPTION;

如果您在安裝MySQL數(shù)據(jù)庫(kù)時(shí)遇到錯(cuò)誤，請(qǐng)參閱下面的故障排除部分，了解如何解決幾個(gè)已知問(wèn)題的詳細(xì)信息。

Microsoft SQL Server

sp_configure 'contained database authentication', 1; RECONFIGURE; CREATE DATABASE burp_enterprise CONTAINMENT = PARTIAL; USE burp_enterprise; CREATE USER burp_enterprise WITH PASSWORD = '********'; CREATE USER burp_agent WITH PASSWORD = '********'; ALTER ROLE db_owner ADD MEMBER burp_enterprise;

身份驗(yàn)證模式

若要支持基于密碼的登錄，還需要確保為安裝啟用了Windows身份驗(yàn)證和SQL Server身份驗(yàn)證選項(xiàng)。此選項(xiàng)有時(shí)稱為混合模式身份驗(yàn)證。

Microsoft SQL Server的其他配置

Burp Suite企業(yè)版使用Microsoft的JDBC驅(qū)動(dòng)程序連接到SQL Server數(shù)據(jù)庫(kù)。默認(rèn)情況下，驅(qū)動(dòng)程序只允許您連接到具有由公共證書頒發(fā)機(jī)構(gòu)簽名的有效TLS證書的數(shù)據(jù)庫(kù)。因此，在嘗試從Burp Suite Enterprise Edition連接到SQL Server實(shí)例之前，需要在SQL Server實(shí)例上安裝合適的證書。有關(guān)如何執(zhí)行此操作的詳細(xì)信息，請(qǐng)參閱Microsoft SQL Server文檔。

注意

作為一種臨時(shí)解決方法，您可以通過(guò)將;trustServerCertificate=true附加到部署B(yǎng)urp Suite Enterprise Edition時(shí)提供的JDBC連接URL來(lái)繞過(guò)此證書驗(yàn)證。

對(duì)于不受信任的網(wǎng)絡(luò)，我們不建議將此作為長(zhǎng)期解決方案。它可能會(huì)使惡意第三方攔截到您的數(shù)據(jù)庫(kù)連接上的流量。

數(shù)據(jù)庫(kù)連接URL格式

要將Burp Suite Enterprise Edition連接到新數(shù)據(jù)庫(kù)，您需要在多個(gè)位置提供JDBC URL。此URL的格式因數(shù)據(jù)庫(kù)類型而略有不同。

PostgreSQL：jdbc:postgresql://<host>:5432/burp_enterprise

甲骨文：jdbc:oracle:thin:@//<host>:1521/<instance-id>

MariaDB / MySQL：jdbc:mysql://<host>:3306/burp_enterprise

Microsoft SQL Server：jdbc:sqlserver://<host>:1433;databaseName=burp_enterprise

Microsoft SQL Server用戶注意事項(xiàng)

如果您尚未在SQL Server實(shí)例上安裝合適的TLS證書，則需要將;trustServerCertificate=true附加到URL以繞過(guò)JDBC驅(qū)動(dòng)程序的證書驗(yàn)證。我們不建議將此作為長(zhǎng)期解決方案，因?yàn)樗赡軙?huì)使惡意第三方攔截到您的數(shù)據(jù)庫(kù)連接上的流量。

MySQL數(shù)據(jù)庫(kù)故障排除

使用自簽名公鑰來(lái)驗(yàn)證MySQL 8存在一個(gè)已知問(wèn)題。本節(jié)說(shuō)明如何解決此問(wèn)題。

RSA公鑰在客戶端不可用

當(dāng)使用MySQL 8的默認(rèn)身份驗(yàn)證機(jī)制時(shí)，Burp Suite Enterprise Edition驅(qū)動(dòng)程序驗(yàn)證數(shù)據(jù)庫(kù)的公鑰。如果密鑰是自簽名的，則會(huì)顯示以下異常：

liquibase.exception.DatabaseException: liquibase.exception.DatabaseException: java.sql.SQLTransientConnectionException: Could not connect to address=(host=127.0.0.1)(port=3306)(type=master) : RSA public key is not available client side (option serverRsaPublicKeyFile not set)

解決此問(wèn)題有幾個(gè)選項(xiàng)：

1、請(qǐng)改用由知名證書頒發(fā)機(jī)構(gòu)簽名的證書。

2、手動(dòng)分發(fā)自簽名證書的公鑰。請(qǐng)參閱下面的說(shuō)明，了解如何執(zhí)行此操作的詳細(xì)信息。

3、通過(guò)將allowPublicKeyRetrieval=true參數(shù)附加到數(shù)據(jù)庫(kù)連接URL來(lái)禁用引發(fā)此問(wèn)題的安全功能。除非您完全了解其安全含義，否則不應(yīng)這樣做，因?yàn)檫@可能會(huì)對(duì)連接造成中間人攻擊。

手動(dòng)分發(fā)公鑰

按照MySQL文檔中詳細(xì)介紹的步驟在數(shù)據(jù)庫(kù)服務(wù)器上獲取RSA密鑰對(duì)。

將包含公鑰的.pem文件復(fù)制到承載Burp Suite Enterprise Edition服務(wù)器的計(jì)算機(jī)以及您部署的任何外部掃描計(jì)算機(jī)。此文件的路徑在所有計(jì)算機(jī)上必須相同。

將serverRsaPublicKeyFile參數(shù)附加到數(shù)據(jù)庫(kù)連接URL，將其指向機(jī)器上的密鑰位置。舉例來(lái)說(shuō)jdbc:mysql://mysql.dev.example.com:3306/burpenterprise?serverRsaPublicKeyFile=/home/user/public_key.pem