Burp Suite je výkonný skener zranitelnosti vyvinutý společností Portswigger používaný k testování zabezpečení webových aplikací. Burp Suite, který přichází s distribucemi jako Kali a Parrot, má nástroj nazvaný Intruder, který vám umožňuje provádět automatizované speciální útoky proti online aplikacím pro etické hackování. Intruder je flexibilní a konfigurovatelný nástroj, což znamená, že jej můžete použít k automatizaci jakéhokoli úkolu, který se objeví v testovacích aplikacích.
Jak to tedy vlastně funguje?
Použití cíle v Intruder
Target, který můžete vidět, když přejdete na kartu Intruder v Burp Suite, obsahuje informace o cílovém webu nebo aplikaci, kterou chcete otestovat. Informace o hostiteli a číslo portu můžete zadat jako cíl v části „Pozice užitečného zatížení“.
Použití karty Pozice v Intruder
Na kartě Pozice můžete vidět typy útoků, šablonu požadavku a informace o parametrech, na které se chcete zaměřit. Zde jsou typy útoků, které můžete testovat pomocí Burp Suite.
Odstřelovač: Tato možnost používá pouze jeden parametr. Necílené parametry nejsou v tomto případě ovlivněny.
Beranidlo: Tato možnost používá jeden vektor útoku pro všechny cílené parametry. To znamená, že pokud jsou v šabloně požadavku tři cílené parametry, zaútočí na všechny tři pomocí stejných vektorů útoku.
Vidle: V této volbě je možné použít více než jeden útočný vektor pro všechny cílené parametry. Pokud si myslíte, že v šabloně požadavku jsou tři cílené parametry, prvním požadavkem by bylo vybrat a umístit první prvek prvního seznamu pro první parametr; první prvek druhého seznamu pro druhý parametr; a první prvek třetího seznamu pro třetí parametr. Ve druhém požadavku budou prvky, které mají být vybrány, druhým prvkem každého seznamu. Tento typ útoku můžete použít při umístění různých vektorů na více cílových parametrů.
Tříštivá střela: Můžete zaměstnat více než jeden útočný vektor pro všechny cílené parametry pomocí této možnosti. Rozdíl mezi ní a možností Pitchfork je v tom, že kazetová bomba vám umožňuje upravit všechna kombinační distribuce. Neprovádí sekvenční volby jako Pitchfork. Vyzkoušení všech možných kombinací cílových parametrů může mít za následek masivní zatížení požadavků. V důsledku toho musíte být při používání této možnosti opatrní.
Na obrazovce Pozice jsou některá další užitečná tlačítka. Libovolný vybraný parametr můžete odstranit pomocí Průhledná tlačítko vpravo. Pokud chcete cílit na nový, můžete použít Přidat tlačítko také vpravo. Použijte Auto tlačítko pro automatický výběr všech polí nebo návrat do původního stavu.
Co jsou karty Payloads v Burp Suite?
Představte si seznamy užitečného zatížení jako seznamy slov. Můžete použít Užitečné zatížení k nastavení jednoho nebo více seznamů užitečného zatížení. Počet sad užitečného zatížení se liší v závislosti na typu útoku.
Sadu užitečného zatížení můžete definovat jedním nebo více způsoby. Pokud máte silný seznam slov, můžete jej importovat výběrem Zatížení ze sekce "Možnosti užitečného zatížení".
Můžete také připravit samostatné sady užitečného zatížení pro cílené parametry. Například pro první cílový parametr můžete použít pouze číselné výrazy, zatímco pro druhý cílový parametr můžete použít složité výrazy.
Zpracování užitečného zatížení
Sady užitečného zatížení nakonfigurované pomocí můžete dále rozšířit Zpracování užitečného zatížení s pravidly a kódováním. Můžete například předponovat všem datům, nechat je zakódovat a dekódovat nebo přeskočit výrazy, které předávají určité regulární výrazy.
Kódování užitečného zatížení
S Kódování užitečného zatížení, můžete bez problémů určit, které znaky mají být URL kódovány v parametrech při přenosu HTTP požadavků do cíle. Kódování URL je převedená verze informací, která bude pravděpodobně zaměněna s adresou. Burp Suite odešle URL pro zakódování ekvivalentů znaků, jako jsou ampersandy (&), hvězdičky (*) a středníky a dvojtečky (v tomto pořadí,; a :) ve výchozím nastavení.
Co je karta Možnosti v Intruder?
The Možnosti karta má možnosti pro záhlaví požadavků, výsledky útoků, shody grep a přesměrování. Před zahájením kontroly je můžete změnit v rozhraní Intruder.
Záhlaví požadavků
Záhlaví požadavků můžete nastavit pomocí nastavení v poli "Záhlaví požadavků". Zde je důležité poznamenat, že hlavička Content-Length: cílová adresa může vrátit chybu, pokud obsah není správně aktualizován.
Pokud se informace Set-Connection nepoužije, spojení může zůstat otevřené, takže po aktivaci možnosti Set-Connection je spojení ukončeno. Transakce však můžete provádět o něco rychleji.
Vypořádání se s chybou
Nastavení v části „Zpracování chyb“ řídí jádro používané ke generování požadavků HTTP při skenování narušitele. Zde můžete nastavit parametry, jako je rychlost, závažnost a trvání útoku.
Výsledky útoku
Sekce "Výsledky útoku" vám umožňuje nastavit, jaké informace budou ve výsledcích kontroly. Tato nastavení konfigurace mají následující možnosti:
- Uložit požadavky/odpovědi: Tyto dvě možnosti slouží k určení, zda má či nemá ukládat obsah požadavků a odpovědí skenů.
- Vytvořit neupravený základní požadavek: Obsahuje základní hodnoty cílových parametrů a také nakonfigurované požadavky na skenování, takže můžete porovnávat odpovědi skenování.
- Použijte režim odmítnutí služby: Pomocí této možnosti můžete zadat normální požadavek na skenování. Může se však náhle vypnout dříve, než dojde k odpovědi ze serveru, protože tato funkce způsobuje únavu cílového serveru. Proto jej musíte používat opatrně.
- Uložte celé užitečné zatížení: To umožňuje Burp Suite uložit přesné hodnoty užitečného zatížení pro každý výsledek. Pokud zvolíte toto, Intruder zabere místo navíc.
Grep - Match, Extract, Payloads
K označení výsledků, které obsahují fráze zadané v odpovědích skenování, můžete použít nastavení v sekcích "Grep—Match", "Grep—Extract" a "Grep—Payloads". Burp Suite přidá potvrzovací sloupec pro každou položku, kterou nakonfigurujete, s uvedením, zda byla položka nalezena v odpovědi. Například, při útocích na hesla, mohou se zobrazit věty jako „nesprávné heslo“ a „úspěšné přihlášení“. Mezi funkce v sekci Grep-Match patří:
- Typ zápasu: Označuje, zda jsou definované výrazy regex (regulární výraz) nebo textový výraz.
- Shoda rozlišující malá a velká písmena: To určuje, zda se má rozlišovat malá a velká písmena.
- Vyloučit hlavičku HTTP: Upřesněte zda záhlaví řádků jsou z této operace osvobozeni.
Proč je Burp Suite tak důležitý?
Etičtí hackeři často používají Burp Suite pro bug bounty operace. Podobně se mohou na Burp Suite spolehnout i bezpečnostní výzkumníci pracující v korporátních společnostech a penetrační testeři, kteří chtějí provádět bezpečnostní testy internetových aplikací. Samozřejmě existuje mnoho dalších skvělých nástrojů, které můžete pro penetrační testování použít; díky zvládnutí dalších nástrojů pro pentesting kromě Burp Suite vyniknete.