Burp Suite ist ein leistungsstarker Schwachstellenscanner, der von Portswigger entwickelt wurde und zum Testen der Sicherheit von Webanwendungen verwendet wird. Burp Suite, das mit Distributionen wie Kali und Parrot geliefert wird, verfügt über ein Tool namens Intruder, mit dem Sie automatisierte Spezialangriffe gegen Online-Anwendungen für ethisches Hacken durchführen können. Der Intruder ist ein flexibles und konfigurierbares Tool, d. h. Sie können damit jede Aufgabe automatisieren, die beim Testen von Anwendungen anfällt.
Wie funktioniert es eigentlich?
Verwenden des Ziels in Intruder
Target, das Sie sehen können, wenn Sie in Burp Suite zur Registerkarte Intruder kommen, enthält Informationen über die Ziel-Website oder -Anwendung, die Sie testen möchten. Unter dem Abschnitt „Payload Positions“ können Sie die Hostinformationen und die Portnummer als Ziel eingeben.
Verwenden der Registerkarte "Positionen" in Intruder
Auf der Registerkarte Positionen sehen Sie die Angriffstypen, die Anforderungsvorlage und die Parameterinformationen, auf die abgezielt werden soll. Hier sind die Arten von Angriffen, die Sie mit Burp Suite testen können.
Scharfschütze: Diese Option verwendet nur einen Parameter. Ungezielte Parameter sind in diesem Fall nicht betroffen.
Rammbock: Diese Option verwendet einen einzigen Angriffsvektor für alle Zielparameter. Das heißt, wenn die Anforderungsvorlage drei Zielparameter enthält, werden alle drei mit denselben Angriffsvektoren angegriffen.
Heugabel: Bei dieser Option ist es möglich, mehr als einen Angriffsvektor für alle Zielparameter zu verwenden. Wenn Sie der Meinung sind, dass die Anforderungsvorlage drei Zielparameter enthält, besteht die erste Anforderung darin, das erste Element der ersten Liste für den ersten Parameter auszuwählen und zu platzieren. das erste Element der zweiten Liste für den zweiten Parameter; und das erste Element der dritten Liste für den dritten Parameter. Bei der zweiten Anfrage sind die auszuwählenden Elemente das zweite Element jeder Liste. Sie können diesen Angriffstyp verwenden, wenn Sie verschiedene Vektoren auf mehreren Zielparametern platzieren.
Streubomben: Sie können anstellen mehr als einen Angriffsvektor für alle Zielparameter mit dieser Option. Der Unterschied zur Pitchfork-Option besteht darin, dass Sie mit einer Streubombe alle Kombinationsverteilungen anpassen können. Es trifft keine sequenziellen Entscheidungen wie Pitchfork. Das Ausprobieren aller möglichen Kombinationen von Zielparametern kann zu einer massiven Anforderungslast führen. Daher müssen Sie bei der Verwendung dieser Option Vorsicht walten lassen.
Es gibt einige andere nützliche Schaltflächen auf dem Bildschirm „Positionen“. Sie können jeden ausgewählten Parameter mit entfernen Klar Schaltfläche rechts. Wenn Sie ein neues Targeting vornehmen möchten, können Sie die verwenden Hinzufügen Knopf auch rechts. Verwenden Sie die Auto Schaltfläche, um automatisch alle Felder auszuwählen oder zu ihrem ursprünglichen Zustand zurückzukehren.
Was sind die Payloads-Tabs in der Burp Suite?
Stellen Sie sich Payload-Listen wie Wortlisten vor. Du kannst den... benutzen Nutzlasten Registerkarte, um eine oder mehrere Payload-Listen einzurichten. Die Anzahl der Payload-Sets variiert je nach Angriffstyp.
Sie können einen Payload-Satz auf eine oder mehrere Arten definieren. Wenn Sie eine starke Wortliste haben, können Sie Ihre Wortliste importieren, indem Sie auswählen Belastung Schaltfläche aus dem Abschnitt "Payload-Optionen".
Sie können auch separate Payload-Sets für die Zielparameter vorbereiten. Beispielsweise können Sie für den ersten Zielparameter nur numerische Ausdrücke verwenden, während Sie für den zweiten Zielparameter komplexe Ausdrücke verwenden können.
Payload-Verarbeitung
Sie können die über konfigurierten Payload-Sets weiter ausbauen Payload-Verarbeitung mit Regeln und Kodierungen. Sie könnten beispielsweise allen Payloads ein Präfix voranstellen, sie codieren und decodieren lassen oder Ausdrücke überspringen, die bestimmte reguläre Ausdrücke passieren.
Payload-Codierung
Mit Payload-Codierungkönnen Sie bei der Übermittlung von HTTP-Requests an das Ziel problemlos in den Parametern angeben, welche Zeichen URL-kodiert werden sollen. Die URL-Codierung ist eine konvertierte Version von Informationen, die wahrscheinlich mit der Adresse verwechselt werden. Burp Suite sendet die URL, um Äquivalente von Zeichen wie kaufmännisches Und (&), Sternchen (*) und Semikolons und Doppelpunkte (bzw.; und :) in den Standardeinstellungen.
Was ist die Registerkarte „Optionen“ in Intruder?
Der Optionen Registerkarte enthält Optionen für Anforderungsheader, Angriffsergebnisse, Grep-Übereinstimmungen und Weiterleitungen. Sie können diese in der Intruder-Oberfläche ändern, bevor Sie einen Scan starten.
Anfrage-Header
Über die Einstellungen im Feld "Request Header" können Sie die Request-Header festlegen. Wichtig ist hier der Content-Length-Header: Die Zieladresse kann einen Fehler zurückgeben, wenn der Inhalt nicht richtig aktualisiert wird.
Wenn die Set-Connection-Informationen nicht verwendet werden, kann die Verbindung offen bleiben, sodass die Verbindung nach Aktivierung der Set-Connection-Option beendet wird. Sie können Transaktionen jedoch etwas schneller durchführen.
Fehlerbehandlung
Die Einstellungen im Abschnitt "Fehlerbehandlung" steuern die Engine, die zum Generieren von HTTP-Anforderungen in Intruder-Scans verwendet wird. Hier können Sie Parameter wie Geschwindigkeit, Stärke und Dauer des Angriffs einstellen.
Angriffsergebnisse
Im Abschnitt "Angriffsergebnisse" können Sie festlegen, welche Informationen in den Scan-Ergebnissen enthalten sein werden. Diese Konfigurationseinstellungen haben die folgenden Optionen:
- Anfragen/Antworten speichern: Diese beiden Optionen geben an, ob der Inhalt von Anfragen und Antworten von Scans gespeichert werden soll oder nicht.
- Unveränderte Baseline-Anfrage stellen: Diese enthält die Basiswerte der Zielparameter sowie die konfigurierten Scan-Anforderungen, sodass Sie Scan-Antworten vergleichen können.
- Verwenden Sie den Denial-of-Service-Modus: Mit dieser Option können Sie eine normale Scan-Anfrage stellen. Es kann jedoch plötzlich heruntergefahren werden, bevor eine Antwort vom Server erfolgt, da diese Funktion den Zielserver ermüdet. Deshalb müssen Sie es sorgfältig verwenden.
- Vollständige Nutzlasten speichern: Dadurch kann Burp Suite die genauen Payload-Werte für jedes Ergebnis speichern. Wenn Sie sich dafür entscheiden, nimmt Intruder zusätzlichen Platz ein.
Grep - Match, Extract, Payloads
Sie können die Einstellungen in den Abschnitten "Grep—Match", "Grep—Extract" und "Grep—Payloads" verwenden, um Ergebnisse zu markieren, die in Scan-Antworten angegebene Ausdrücke enthalten. Burp Suite fügt für jedes von Ihnen konfigurierte Element eine Bestätigungsspalte hinzu, die angibt, ob das Element in der Antwort gefunden wird. Zum Beispiel, bei Passwortangriffen, sehen Sie möglicherweise Sätze wie „Falsches Passwort“ und „Erfolgreiche Anmeldung“. Zu den Funktionen im Grep-Match-Bereich gehören:
- Übereinstimmungstyp: Gibt an, ob es sich bei den definierten Ausdrücken um Regex (regulärer Ausdruck) oder Textausdruck handelt.
- Groß-/Kleinschreibung beachten: Dies gibt an, ob zwischen Groß- und Kleinschreibung unterschieden werden soll oder nicht.
- HTTP-Header ausschließen: Angeben ob die Kopfzeilen sind von diesem Vorgang ausgenommen.
Warum ist die Burp Suite so wichtig?
Ethische Hacker verwenden Burp Suite oft für Bug-Bounty-Operationen. Ebenso können sich Sicherheitsforscher, die in Unternehmen arbeiten, und Penetrationstester, die Sicherheitstests an Internetanwendungen durchführen möchten, ebenfalls auf die Burp Suite verlassen. Natürlich gibt es viele andere großartige Tools, die Sie für Penetrationstests verwenden können; Wenn Sie zusätzlich zur Burp Suite andere Pentesting-Tools beherrschen, werden Sie sich von der Masse abheben.