Учебное пособие по Burp Suite

Burp Suite - это набор устройств, используемых для проведения тестирования на проникновение и проверки безопасности. В этом руководстве основное внимание уделяется бесплатной версии. Burp Suite может действовать как прерывающий прокси, а также захватывать трафик между интернет-браузером и веб-сервером. Другие функции Burp Suite включают сканер, паук с поддержкой приложений, злоумышленник, повторитель, секвенсор, компаратор, расширитель и декодер.

Функции

Ниже приводится описание возможностей Burp Suite:

• Сканер: Сканирование уязвимостей.
• Паук, ориентированный на приложения: Используется для скольжения заданного размера страниц.
• Нарушитель: Используется для атак и перебора страниц с возможностью адаптации.
• Повторитель: Используется для управления и переадресации всех запросов.
• Секвенсор: Используется для тестирования токенов сеанса.
• Расширитель: Позволяет вам легко составлять ваши плагины для получения настраиваемой функциональности
• Компаратор и декодер: Оба используются для разных целей.

Отрыжка паук

В Burp Suite также есть ошибка, известная как Burp Spider. Burp Spider - это программа, которая просматривает все целевые страницы, указанные в области видимости. Перед тем, как начать ошибку Burp, Burp Suite должен быть настроен на захват HTTP-трафика.

Что такое входное тестирование веб-приложений?

Входное тестирование веб-приложений выполняет цифровую атаку, чтобы собрать данные о вашей структуре, выявить в ней слабые места и выяснить, как эти недостатки могут в конечном итоге поставить под угрозу ваше приложение или систему.

Интерфейс

Как и другие инструменты, Burp Suite содержит строки, строки меню и различные наборы панелей.

В таблице ниже показаны различные варианты, описанные ниже.

1. Вкладки выбора инструментов и параметров: выберите инструменты и настройки.
2. Просмотр карты сайта: показывает карту сайта.
3. Очередь запросов: показывает, когда выполняются запросы.
4. Детали запроса / ответа: показывает запросы и ответы от сервера.

Паутина веб-сайта - важная функция при выполнении тестов веб-безопасности. Это помогает определить степень использования веб-приложения. Как упоминалось выше, Burp Suite имеет своего собственного паука, называемого Burp Spider, который может скользить по веб-сайту. В основном он состоит из четырех шагов.

Шаги

Шаг 1. Настройте прокси

Сначала запустите Burp Suite и проверьте параметры под Параметры дополнительная вкладка.

Определить IP-адрес localhost IP и порт 8080.

Кроме того, обнаружите, чтобы убедиться, что перехват включен. Откройте Firefox и перейдите в Параметры вкладка. Нажмите Предпочтения, тогда Сеть, тогда Настройки соединения, и после этого выберите Ручная настройка прокси отбор.

Чтобы установить прокси, вы можете установить селектор прокси из Дополнения страницу и щелкните Предпочтения.

Перейти к Управление прокси и включить другого посредника, округляя применимые данные.

Нажми на Выбор прокси кнопку вверху справа и выберите только что созданный прокси.

Шаг 2. Получение контента

После настройки прокси перейдите к цели, введя URL-адрес в адресной строке. Вы видите, что страница не загружается. Это происходит потому, что Burp Suite фиксирует ассоциацию.

В Burp Suite вы можете увидеть варианты запроса. Щелкните вперед, чтобы продвинуть ассоциацию. На этом этапе вы можете видеть, что страница в программе скопилась.

Вернувшись к Burp Suite, вы увидите, что все районы заселены.

Шаг 3: Выбор и запуск паука

Здесь цель mutillidae выбран. Щелкните правой кнопкой мыши mutillidae цель из карты сайта и выберите Паук отсюда вариант.

Когда Паук начнется, вы получите краткую информацию, как показано на прилагаемом рисунке. Это структура входа в систему. Паук сможет сканировать на основе предоставленной информации. Вы можете пропустить этот процесс, нажав кнопку «Игнорировать форму».

Шаг 4: манипулирование деталями

Когда ошибка запускается, дерево в mutillidae филиал заполняется. Аналогичным образом, сделанные запросы отображаются в строке, а подробности перечислены в Запрос вкладка.

Переходите к различным вкладкам и просмотрите все основные данные.

Наконец, проверьте, готов ли Паук, просмотрев вкладку Паук.

Это самые необходимые и начальные этапы тестирования веб-безопасности с использованием Burp Suite. Поиск пауков является важной частью разведки во время теста, и, выполнив его, вы сможете лучше понять конструкцию целевого сайта. В следующих учебных упражнениях мы распространим это на различные инструменты в наборе устройств в Burp Suite.

Заключение

Burp Suite можно использовать в качестве основного HTTP-посредника для блокировки трафика для исследования и воспроизведения, сканера безопасности веб-приложений, инструмента для выполнения механизированных атак на веб-приложение, устройства для проверки всего сайта для распознавания поверхности нападения и API модуля со множеством доступных сторонних надстроек. Надеюсь, эта статья помогла вам узнать больше об этом удивительном инструменте для проверки на проникновение.