Burp Suite je výkonný skener zraniteľnosti vyvinutý spoločnosťou Portswigger, ktorý sa používa na testovanie bezpečnosti webových aplikácií. Burp Suite, ktorý prichádza s distribúciami ako Kali a Parrot, má nástroj s názvom Intruder, ktorý vám umožňuje vykonávať automatizované špeciálne útoky proti online aplikáciám na etické hackovanie. Intruder je flexibilný a konfigurovateľný nástroj, čo znamená, že ho môžete použiť na automatizáciu akejkoľvek úlohy, ktorá sa objaví v testovacích aplikáciách.
Ako to teda vlastne funguje?
Použitie cieľa v Intruder
Target, ktorý môžete vidieť, keď prejdete na kartu Intruder v Burp Suite, obsahuje informácie o cieľovej webovej lokalite alebo aplikácii, ktorú chcete otestovať. Informácie o hostiteľovi a číslo portu môžete zadať ako cieľ v časti „Pozície užitočného zaťaženia“.
Používanie karty Pozície v Intruder
Na karte Pozície môžete vidieť typy útokov, šablónu žiadosti a informácie o parametroch, na ktoré sa treba zamerať. Tu sú typy útokov, ktoré môžete testovať pomocou Burp Suite.
ostreľovač: Táto možnosť používa iba jeden parameter. Nezacielené parametre nie sú v tomto prípade ovplyvnené.
Baranidlo: Táto možnosť používa jeden vektor útoku pre všetky cielené parametre. To znamená, že ak sú v šablóne požiadavky tri cielené parametre, útočí na všetky tri pomocou rovnakých vektorov útoku.
Vidly: V tejto možnosti je možné použiť viac ako jeden vektor útoku pre všetky cielené parametre. Ak si myslíte, že v šablóne požiadavky sú tri cielené parametre, prvou požiadavkou by bolo vybrať a umiestniť prvý prvok prvého zoznamu pre prvý parameter; prvý prvok druhého zoznamu pre druhý parameter; a prvý prvok tretieho zoznamu pre tretí parameter. V druhej požiadavke budú prvky, ktoré sa majú vybrať, druhým prvkom každého zoznamu. Tento typ útoku môžete použiť pri umiestňovaní rôznych vektorov na viaceré cieľové parametre.
Klastrová bomba: Môžete zamestnať viac ako jeden vektor útoku pre všetky cielené parametre pomocou tejto možnosti. Rozdiel medzi ním a možnosťou Pitchfork je v tom, že kazetová bomba vám umožňuje upraviť všetky kombinované distribúcie. Nerobí sekvenčné voľby ako Pitchfork. Vyskúšanie každej možnej kombinácie cieľových parametrov môže viesť k masívnemu zaťaženiu požiadaviek. V dôsledku toho musíte byť pri používaní tejto možnosti opatrní.
Na obrazovke Pozície je niekoľko ďalších užitočných tlačidiel. Každý vybraný parameter môžete odstrániť pomocou jasný tlačidlo na pravej strane. Ak chcete zacieliť na nový, môžete použiť Pridať tlačidlo tiež vpravo. Použi Auto tlačidlo na automatický výber všetkých polí alebo návrat do pôvodného stavu.
Čo sú karty Payloads v balíku Burp Suite?
Predstavte si zoznamy užitočného zaťaženia ako zoznamy slov. Môžete použiť Užitočné zaťaženia na nastavenie jedného alebo viacerých zoznamov užitočného zaťaženia. Počet sád užitočného zaťaženia sa líši v závislosti od typu útoku.
Množinu užitočného zaťaženia môžete definovať jedným alebo viacerými spôsobmi. Ak máte silný zoznam slov, môžete ho importovať výberom položky Naložiť zo sekcie "Možnosti užitočného zaťaženia".
Môžete tiež pripraviť samostatné sady užitočného zaťaženia pre cieľové parametre. Napríklad pre prvý cieľový parameter môžete použiť iba číselné výrazy, zatiaľ čo pre druhý cieľový parameter môžete použiť zložité výrazy.
Spracovanie užitočného zaťaženia
Môžete ďalej rozširovať sady užitočného zaťaženia nakonfigurované cez Spracovanie užitočného zaťaženia s pravidlami a kódovaním. Môžete napríklad prefixovať všetky užitočné zaťaženia, nechať ich zakódovať a dekódovať alebo preskočiť výrazy, ktoré prechádzajú určitými regulárnymi výrazmi.
Kódovanie užitočného zaťaženia
s Kódovanie užitočného zaťaženia, môžete bez problémov určiť, ktoré znaky majú byť URL zakódované v parametroch pri prenose HTTP požiadaviek do cieľa. Kódovanie adresy URL je prevedená verzia informácií, ktorá sa pravdepodobne zamieňa s adresou. Burp Suite odošle URL na zakódovanie ekvivalentov znakov, ako sú ampersandy (&), hviezdičky (*) a bodkočiarky a dvojbodky (v tomto poradí,; a :) v predvolenom nastaveni.
Čo je karta Možnosti v Intruder?
The možnosti karta má možnosti pre hlavičky požiadaviek, výsledky útokov, zhody grep a presmerovania. Pred spustením kontroly ich môžete zmeniť v rozhraní Intruder.
Hlavičky žiadostí
Hlavičky požiadaviek môžete nastaviť pomocou nastavení v poli "Hlavičky požiadaviek". Dôležitá vec, ktorú si treba všimnúť, je hlavička Content-Length: cieľová adresa môže vrátiť chybu, ak obsah nie je správne aktualizovaný.
Ak sa informácia Set-Connection nepoužije, spojenie môže zostať otvorené, takže po aktivácii možnosti Set-Connection sa spojenie ukončí. Transakcie však môžete vykonávať o niečo rýchlejšie.
Spracovanie chýb
Nastavenia v sekcii „Ošetrenie chýb“ riadia mechanizmus používaný na generovanie požiadaviek HTTP pri skenovaní narušiteľov. Tu môžete nastaviť parametre, ako je rýchlosť, závažnosť a trvanie útoku.
Výsledky útoku
Sekcia "Výsledky útoku" vám umožňuje nastaviť, aké informácie budú vo výsledkoch kontroly. Tieto konfiguračné nastavenia majú nasledujúce možnosti:
- Uložiť požiadavky/odpovede: Tieto dve možnosti slúžia na určenie, či sa má alebo nemá ukladať obsah požiadaviek a odpovedí na kontroly.
- Urobiť neupravenú základnú požiadavku: Obsahuje základné hodnoty cieľových parametrov, ako aj nakonfigurované požiadavky na skenovanie, takže môžete porovnávať odpovede skenovania.
- Použite režim odmietnutia služby: Pomocou tejto možnosti môžete zadať normálnu požiadavku na skenovanie. Môže sa však náhle vypnúť skôr, ako príde odpoveď zo servera, pretože táto funkcia spôsobuje únavu cieľového servera. Preto ho musíte používať opatrne.
- Uložte celé užitočné zaťaženie: To umožňuje Burp Suite uložiť presné hodnoty užitočného zaťaženia pre každý výsledok. Ak zvolíte toto, Intruder zaberie miesto navyše.
Grep - zápas, výpis, užitočné zaťaženie
Na označenie výsledkov, ktoré obsahujú frázy špecifikované v odpovediach na skenovanie, môžete použiť nastavenia v sekciách „Grep – Match“, „Grep – Extract“ a „Grep – Payloads“. Burp Suite pridá potvrdzovací stĺpec pre každú položku, ktorú nakonfigurujete, s uvedením, či sa položka v odpovedi nachádza. Napríklad, pri útokoch na heslo, môžu sa vám zobraziť vety ako „nesprávne heslo“ a „úspešné prihlásenie“. Funkcie v sekcii Grep-Match zahŕňajú:
- Typ zhody: Označuje, či sú definované výrazy regulárnym výrazom (regulárny výraz) alebo textovým výrazom.
- Zhoda rozlišujúca malé a veľké písmená: Toto špecifikuje, či sa majú rozlišovať malé a veľké písmená alebo nie.
- Vylúčiť hlavičku HTTP: Uveďte či hlavičky riadkov sú oslobodení od tejto operácie.
Prečo je Burp Suite taký dôležitý?
Etickí hackeri často používajú Burp Suite na operácie bug bounty. Podobne sa na Burp Suite môžu spoľahnúť aj bezpečnostní výskumníci pracujúci v podnikových spoločnostiach a penetrační testeri, ktorí chcú vykonávať bezpečnostné testy na internetových aplikáciách. Samozrejme, existuje mnoho ďalších skvelých nástrojov, ktoré môžete použiť na penetračné testovanie; zvládnutie ďalších nástrojov pentestingu okrem Burp Suite vám umožní vyniknúť.
