Przewodnik krok po kroku dotyczący korzystania z BurpSuite do testowania bezpieczeństwa aplikacji internetowych

May 05 2023
Co to jest zestaw do beknięcia? Burp Suite to jedno z najpopularniejszych narzędzi do testowania bezpieczeństwa. Burp Suite może być używany do identyfikowania różnych rodzajów luk, takich jak iniekcja SQL lub skrypty między witrynami, poprzez testowanie aplikacji internetowej poza jej graficznym interfejsem użytkownika (GUI).

Co to jest zestaw do beknięcia?

Burp Suite to jedno z najpopularniejszych narzędzi do testowania bezpieczeństwa. Burp Suite może być używany do identyfikowania różnych rodzajów luk, takich jak iniekcja SQL lub skrypty między witrynami, poprzez testowanie aplikacji internetowej poza jej graficznym interfejsem użytkownika (GUI). Jest to rodzaj serwera proxy, co oznacza, że ​​znajduje się pomiędzy przeglądarką internetową użytkownika a serwerem sieciowym, aby obserwować i manipulować wszystkimi danymi, które są przesyłane tam iz powrotem.
Burp Suite ma różne funkcje, takie jak proxy, repeater, intruz, skaner, dekoder i inne.

  • Proxy: Funkcja proxy Burp Suite pozwala użytkownikom przechwytywać i modyfikować żądania HTTP między przeglądarką internetową użytkownika a serwerem WWW. Pozwala to na obserwację ruchu internetowego i manipulowanie nim, co może pomóc zidentyfikować potencjalne problemy z bezpieczeństwem.
  • Repeater: Burp Suite Repeater pozwala nam pobrać żądanie, zmienić je w dowolny sposób i wysyłać je wielokrotnie. Może to być bardzo przydatne, zwłaszcza gdy musimy odgadnąć ładunek, próbując różnych rzeczy (jak w SQLi) lub gdy chcemy sprawdzić, czy punkt końcowy ma jakieś błędy.
  • Intruz: Funkcja intruza Burp Suite obejmuje kilka różnych ataków, które można przeprowadzić na zdalnej stronie internetowej. Ataki te obejmują ataki słownikowe i ataki siłowe, które mogą pomóc zidentyfikować luki w mechanizmach uwierzytelniania aplikacji internetowej.
  • Skaner: funkcja skanera Burp Suite pozwala użytkownikom skanować określoną stronę internetową w poszukiwaniu potencjalnych luk. Ta funkcja automatyzuje proces testowania i dostarcza szczegółowe raporty o wszelkich wykrytych lukach w zabezpieczeniach.
  • Dekoder: Funkcja dekodera pakietu Burp Suite umożliwia użytkownikom dekodowanie różnych typów danych, takich jak kodowanie adresów URL. Może to pomóc w zidentyfikowaniu potencjalnych problemów z bezpieczeństwem w obsłudze danych przez aplikację internetową.

Hakerzy zawsze szukają sposobów na przechwytywanie połączeń, więc upewnij się, że hakerzy nie będą w stanie przechwycić połączeń.

Dlaczego warto korzystać z pakietu Burp?

  • Upewnij się, że aplikacje/aplikacje internetowe są bezpieczne i niezawodne.
  • Za pomocą pakietu burp możemy sprawdzić podatność stron internetowych i aplikacji.
  1. Wejdź na stronę Burp Suite i pobierz stąd instalator .
  2. Uruchom instalator i postępuj zgodnie z instrukcjami, aby zakończyć proces instalacji, wybierz „nowy projekt tymczasowy”, a następnie „użyj domyślnych ustawień burp”
  3. Kliknij Start Burp
  4. Utwórz tymczasowy projekt w wersji Burp Suite Community
  1. Skonfiguruj serwer proxy : Aby przechwycić ruch, musisz skonfigurować ustawienia serwera proxy w pakiecie Burp Suite.
    Przejdź do zakładki „Proxy”, a następnie kliknij zakładkę „Opcje/Ustawienia proxy”
Domyślnie Burp Suite działa na porcie 8080

3. Możesz zmodyfikować to ustawienie, aby nasłuchiwało na innych portach, po prostu klikając przycisk „Edytuj” i zmieniając numer portu odbiornika na inny numer.

4. Przejdź do zakładki Proxy > Przechwytywanie i kliknij przycisk Przechwytywanie jest wyłączone , aby przełączył się na Przechwytywanie jest włączone. Ten przełącznik pozwala przechwycić dowolne żądanie lub odpowiedź i zmodyfikować je przed przekazaniem.

Upewnij się, że przechwytywanie jest włączone

Konfigurowanie przeglądarki

Aby używać Burp Suite jako proxy, musisz skonfigurować swoją przeglądarkę. Proces różni się w zależności od używanej przeglądarki; w tym przykładzie użyję przeglądarki Firefox . Możesz jednak zapoznać się z dokumentacją pakietu Burp Suite, aby dowiedzieć się, jak skonfigurować inne przeglądarki.

  1. Otwórz przeglądarkę Firefox w prawym górnym rogu i przejdź do Ustawień, a następnie wyszukaj słowo proxy. Kliknij ikonę, aby otworzyć ustawienia proxy.
  2. Konfigurowanie serwera proxy dla Firefoksa

Teraz przeglądarka jest już skonfigurowana do korzystania z Burp Suite jako serwera proxy, który nasłuchuje na porcie 8080. Teraz musisz zainstalować certyfikat CA Burp.

  • Przejdź do burp / lub 127.0.0.1:8080 w przeglądarce Firefox.
  • Kliknij „Certyfikat CA” na górnym pasku menu, aby go pobrać.
  • Pobierz certyfikat CA firmy Burp
    Pobrano świadectwo beknięcia
  • Certyfikat CA musi być zainstalowany w Twojej przeglądarce jako zaufany root, aby przeglądarka ufała połączeniom SSL z Burp Suite.
    Przejdź do przeglądarki Firefox > Kliknij Opcje z menu bocznego > Napisz certyfikaty w polu wyszukiwania, a następnie kliknij „ Wyświetl certyfikaty ” > Urzędy > Importuj.

W Burp Suite, gdy przechwytywacz jest włączony, zobaczysz wszystkie żądania wysłane przez przeglądarkę. Możesz analizować zgłoszenia i wprowadzać dowolne modyfikacje. Kiedy jesteś zadowolony, kliknij przycisk Prześlij dalej, aby wysłać wiadomość.

Przechwytywanie żądania

Możesz także kliknąć kartę Historia HTTP, aby wyświetlić listę historii żądań.

Historia żądań HTTP

Wniosek:

Na tym blogu nauczyłeś się, jak skonfigurować pakiet Burp Suite jako serwer proxy i jak używać przeglądarki Firefox, aby ułatwić konfigurację serwera proxy w przeglądarce.

Daj mi znać, czy to było pomocne. Jeśli kiedykolwiek będziesz potrzebować mojej pomocy, możesz napisać w sekcji komentarzy. Możesz również skontaktować się ze mną przez mój profil LinkedIn . Dziękuję!

Aby uzyskać więcej informacji, zostawiam linki referencyjne poniżej:

Jak używać Burp Suite do testów penetracyjnych — PortSwigger