Burp suite wprowadzenie dla osób aspirujących do bycia pentesterami. Aplikacja Burp pozwala kontrolować i analizować ruch HTTP/HTTPS przesyłany między przeglądarką testera a serwerem WWW.
Burp Suite umożliwia wykrycie ponad 100 różnego rodzaju typów błędów mających istotny wpływ na poziom bezpieczeństwa. Przykładami mogą być np. fragmenty skryptu podatne na wstrzykiwanie baz danych SQL. Istnieje również możliwość wyboru trybu skanowania (wolne oraz szybkie) oraz obszarów, jakie mają zostać poddane analizie.
Wszelkie błędy wraz z ich opisem i datą wykrycia wyświetlane są na bieżąco w trakcie skanowania. Dodatkowym elementem wspomagającym lokalizacje nieprawidłowości jest system prezentacji struktury skanowanej aplikacji w formie drzewa plików. Obsługiwane są wszelkie najnowsze technologie webowe jak np. REST, JSON, AJAX oraz SOAP.
Skąd uzyskać narzędzie?
Narzędzie jest preinstalowane w Kali Linux, zatem każdy użytkownik posiada to narzędzie. Oczywiście wraz z rozwojem narzędzia, można zauważyć że nowe wersje nie posiadają funkcji Spider, która dostępna jest tylko w wersji płatnej.
Oczywiście jest też możliwość pobrania narzędzia dla innych platform jak Windows, MacOs czy Linux, wszystko ze strony portswigger.net.
Burp Suite:
Podstawowym narzędziem testera bezpieczeństwa webowych jest właśnie Burp Suite. Burp jest aplikacją wspomagającą pracę, zatem samodzielnie nic to narzędzie nie zrobi. Pakiet Burp pozwala pomagać analizować charakter żądań i odpowiedzi HTTP(s), oraz poznawać strukturę strony. Dodatkowo w fazach mapowania podatności i ich eksploitacji.
Burp Proxy:
Jest to proxy działające pomiędzy przeglądarką a aplikacją internetową. Narzędzie to pozwala na śledzenie wysyłanych żądań, oraz otrzymywanych odpowiedzi HTTP. Jeżeli przeglądarka zacznie wysyłać ruch, to użytkownik otrzyma możliwość zatrzymania żądań.
Aby uzyskać dostęp należy przejść do zakładki Proxy – Intercept. Oprócz przechwytywania ruchu HTTP możliwa jest dynamiczna zmiana nagłówków, czy też ponowne wysyłanie żądań.
Burp Target oraz Burp Spider
Przechodząc do zakładki Target widzimy w trakcie testu jak buduje się drzewko strony. Jest to oczywiście ruch, który przeszedł przez nasze narzędzie. Pod spodem jest wiele dodatkowych możliwości, które będą opisane w kolejnych wpisach.
Spider jest to obecnie funkcja płatna, jednak możemy z niej skorzystać za darmo we wcześniejszych wersjach. Spider to webcrawler, który mapuje stronę i przekazuje nam linki, formularze czy JS.
Burp Scanner
Jak sama nazwa wskazuje, jest to skaner, który w automatyczny sposób wykrywa podatności. Dokładniej to czyni to w zasobach z zakładki Target. Przedmiotowy skaner działa w dwóch trybach – tj. aktywnym, oraz pół-pasywnym. Podobnie jak Spider, w obecnych wersjach Scanner dostępny jest tylko w wersji płatnej.
Wcześniejsza wersja – w jakim celu.
Jak wspominałem wcześniej obecne wersje mogą nie posiadać pewnych funkcjonalności w wersji darmowej. Warto prześledzić czy poprzednie wersje nie posiadały funkcjonalności w wersji darmowej. Świetnym przykładem jest funkcja Spider, która jest dostępna np. w wersji 1.7.30. Warto zapoznać się ze zmianami w aplikacji by móc znaleźć przydatne funkcje w darmowej wersji. Poniżej screen, że jest możliwość korzystania z dwóch wersji.
Oczywiście będziemy otrzymywać propozycję aktualizowania aplikacji do najnowszej wersji, jednak kulturalnie możemy odmawiać.
Podsumowanie.
Wpis miał na celu wprowadzenie w tematykę Burpa i możliwości korzystania z tego narzędzia. Szersze możliwości skorzystania z tego narzędzia będą w kolejnych wpisach, dla osób bardziej zainteresowanych tą tematyką. W kolejnej części poruszymy tematykę m.in. Intrudera, Repeatera, Sequencera, Decodera i Comparera a także Extendera.