Burp Suite to potężny skaner podatności opracowany przez Portswigger, służący do testowania bezpieczeństwa aplikacji internetowych. Burp Suite, który jest dostarczany z dystrybucjami takimi jak Kali i Parrot, ma narzędzie o nazwie Intruder, które umożliwia przeprowadzanie zautomatyzowanych specjalnych ataków na aplikacje internetowe w celu etycznego hakowania. Intruder to elastyczne i konfigurowalne narzędzie, co oznacza, że można go używać do automatyzacji dowolnego zadania, które pojawia się podczas testowania aplikacji.
Jak to właściwie działa?
Używanie celu w intruzie
Cel, który możesz zobaczyć po przejściu do zakładki Intruz w Burp Suite, zawiera informacje o docelowej stronie internetowej lub aplikacji, którą chcesz przetestować. Możesz wprowadzić informacje o hoście i numer portu jako cel w sekcji „Pozycje ładunku”.
Korzystanie z zakładki Pozycje w Intruderze
W zakładce Pozycje możesz zobaczyć typy ataków, szablon żądania i informacje o parametrach, które mają być celem. Oto rodzaje ataków, które możesz przetestować za pomocą pakietu Burp Suite.
Snajper: Ta opcja używa tylko jednego parametru. W tym przypadku nie ma to wpływu na parametry niedocelowe.
Taran: Ta opcja używa jednego wektora ataku dla wszystkich docelowych parametrów. Oznacza to, że jeśli w szablonie żądania znajdują się trzy docelowe parametry, atakuje wszystkie trzy przy użyciu tych samych wektorów ataku.
Widły: W tej opcji możliwe jest użycie więcej niż jednego wektora ataku dla wszystkich docelowych parametrów. Jeśli uważasz, że w szablonie żądania są trzy docelowe parametry, pierwsze żądanie polegałoby na wybraniu i umieszczeniu pierwszego elementu pierwszej listy dla pierwszego parametru; pierwszy element drugiej listy dla drugiego parametru; oraz pierwszy element trzeciej listy dla trzeciego parametru. W drugim żądaniu elementy do wybrania będą drugim elementem każdej listy. Możesz użyć tego typu ataku, umieszczając różne wektory na wielu parametrach celu.
Bomba kasetowa: Możesz zatrudnić więcej niż jeden wektor ataku dla wszystkich docelowych parametrów przy użyciu tej opcji. Różnica między nią a opcją Pitchfork polega na tym, że bomba kasetowa pozwala dostosować wszystkie rozkłady kombinacji. Nie dokonuje kolejnych wyborów, jak robi to Pitchfork. Wypróbowanie każdej możliwej kombinacji parametrów docelowych może spowodować ogromne obciążenie żądaniami. W rezultacie należy zachować ostrożność podczas korzystania z tej opcji.
Na ekranie Pozycje znajduje się kilka innych przydatnych przycisków. Możesz usunąć dowolny wybrany parametr za pomocą Jasne przycisk po prawej stronie. Jeśli chcesz kierować reklamy na nowy, możesz użyć metody Dodać przycisk po prawej stronie też. Użyj Automatyczny przycisk, aby automatycznie wybrać wszystkie pola lub powrócić do pierwotnego stanu.
Co to są zakładki ładunków w pakiecie Burp Suite?
Pomyśl o listach ładunku, takich jak listy słów. Możesz użyć Ładunki kartę, aby skonfigurować jedną lub więcej list ładunków. Liczba zestawów ładunków różni się w zależności od rodzaju ataku.
Zestaw danych można zdefiniować na jeden lub więcej sposobów. Jeśli masz silną listę słów, możesz ją zaimportować, wybierając opcję Obciążenie przycisk z sekcji „Opcje ładunku”.
Możesz także przygotować osobne zestawy ładunków dla docelowych parametrów. Na przykład dla pierwszego parametru docelowego można użyć tylko wyrażeń liczbowych, a dla drugiego parametru docelowego można użyć wyrażeń złożonych.
Przetwarzanie ładunku
Możesz dodatkowo rozszerzyć zestawy ładunku skonfigurowane za pomocą Przetwarzanie ładunku z regułami i kodowaniem. Na przykład możesz poprzedzić wszystkie ładunki, kodować i dekodować lub pomijać wyrażenia, które przekazują określone wyrażenia regularne.
Kodowanie ładunku
Z Kodowanie ładunku, możesz określić, które znaki mają być kodowane w adresie URL w parametrach podczas przesyłania żądań HTTP do miejsca docelowego bez żadnych problemów. Kodowanie adresu URL to przekonwertowana wersja informacji, która może zostać pomylona z adresem. Burp Suite wysyła adres URL w celu zakodowania odpowiedników znaków, takich jak ampersand (&), gwiazdki (*) oraz średniki i dwukropki (odpowiednio,; i :) w ustawieniach domyślnych.
Co to jest zakładka Opcje w Intruderze?
The Opcje Karta zawiera opcje dotyczące nagłówków żądań, wyników ataków, dopasowań grep i przekierowań. Możesz je zmienić w interfejsie Intruza przed rozpoczęciem skanowania.
Nagłówki żądań
Możesz ustawić nagłówki żądań, korzystając z ustawień w polu „Nagłówki żądań”. Ważną rzeczą, na którą należy zwrócić uwagę, jest nagłówek Content-Length: adres docelowy może zwrócić błąd, jeśli treść nie zostanie odpowiednio zaktualizowana.
Jeśli informacja o Set-Connection nie zostanie wykorzystana, połączenie może pozostać otwarte, dlatego po aktywowaniu opcji Set-Connection połączenie zostanie przerwane. Możesz jednak wykonywać transakcje nieco szybciej.
Obsługa błędów
Ustawienia w sekcji „Obsługa błędów” sterują silnikiem używanym do generowania żądań HTTP w skanowaniu w poszukiwaniu włamań. Tutaj możesz ustawić parametry, takie jak szybkość, dotkliwość i czas trwania ataku.
Wyniki ataku
Sekcja „Wyniki ataku” pozwala określić, jakie informacje będą wyświetlane w wynikach skanowania. Te ustawienia konfiguracji mają następujące opcje:
- Przechowuj żądania/odpowiedzi: Te dwie opcje służą do określania, czy ma zapisywać treść żądań i odpowiedzi ze skanów.
- Złóż niezmodyfikowane żądanie planu bazowego: Zawiera podstawowe wartości docelowych parametrów oraz skonfigurowane żądania skanowania, dzięki czemu można porównać odpowiedzi na skanowanie.
- Użyj trybu odmowy usługi: Dzięki tej opcji możesz złożyć normalne żądanie skanowania. Jednak może się nagle wyłączyć, zanim serwer otrzyma odpowiedź, ponieważ ta funkcja powoduje zmęczenie serwera docelowego. Dlatego trzeba go używać ostrożnie.
- Przechowuj pełne ładunki: Pozwala to Burp Suite na zapisanie dokładnych wartości ładunku dla każdego wyniku. Jeśli wybierzesz tę opcję, Intruder zajmie dodatkowe miejsce.
Grep - Dopasuj, wyodrębnij, ładunki
Możesz użyć ustawień w sekcjach „Grep—Match”, „Grep—Extract” i „Grep—Payloads”, aby zaznaczyć wyniki, które zawierają frazy określone w odpowiedziach na skanowanie. Burp Suite doda kolumnę potwierdzenia dla każdego skonfigurowanego elementu, wskazując, czy element został znaleziony w odpowiedzi. Na przykład, w atakach na hasła, możesz zobaczyć zdania takie jak „nieprawidłowe hasło” i „pomyślne logowanie”. Funkcje w sekcji Grep-Match obejmują:
- Typ dopasowania: Wskazuje, czy zdefiniowane wyrażenia są wyrażeniami regularnymi (wyrażeniami regularnymi) czy wyrażeniami tekstowymi.
- Dopasowanie z uwzględnieniem wielkości liter: Określa, czy wielkość liter ma być rozróżniana, czy nie.
- Wyklucz nagłówek HTTP: Sprecyzować czy linie nagłówka są zwolnione z tej czynności.
Dlaczego Burp Suite jest tak ważny?
Etyczni hakerzy często używają Burp Suite do operacji związanych z nagrodami za błędy. Podobnie badacze bezpieczeństwa pracujący w firmach korporacyjnych i testerzy penetracyjni, którzy chcą przeprowadzać testy bezpieczeństwa aplikacji internetowych, również mogą polegać na Burp Suite. Oczywiście istnieje wiele innych świetnych narzędzi, których można użyć do testów penetracyjnych; opanowanie innych narzędzi do pentestowania oprócz pakietu Burp Suite sprawi, że będziesz się wyróżniać.
