Burp gehört zu den am höchsten bewerteten Sicherheitssuiten für Pentesting und Moral Hacking . Während es kostenpflichtige Professional- und Enterprise-Editionen gibt, können Sie die Gruppenversion kostenlos einrichten und sogar direkt von Kali Linux aus verwenden.
Die Burp-Suite wird häufig von Sicherheitsexperten verwendet, um anspruchsvolle Scans und verschiedene Besucherabhörvorgänge (z. B. HTTP-Anfragen) durchzuführen. Das von PortSwigger gewartete Gerät bietet vollständige Dokumentation .
Es gibt eigene Abschnitte für völlig unterschiedliche Editionen. Während die Unternehmens- und die professionelle Variante teuer sind, bieten sie mehr Optionen, die für Ihre Gruppe sinnvoll sind. Entscheiden Sie sich also nicht für die kostenlose Gruppenversion, nur weil sie kostenlos ist. Cybersicherheitsinstrumente amortisieren sich häufig durch die durch verhinderte Sicherheitsverletzungen eingesparten Preise, die sich bei einer einzelnen Sicherheitsverletzung auf Tausende und Abertausende belaufen können.
Die kostenlose Version bietet jedoch einiges, daher wollen wir hier einige Grundlagen bewerten.
Erfahren Sie außerdem: Die 10 wichtigsten Open-Supply-Penetrationstestinstrumente
Rülpsen konfigurieren auf VMs aus Sicherheitsgründen
Die beste Strategie, mit Burp zu beginnen, besteht darin, einige digitale Maschinen so zu platzieren, dass Sie Ihre Prüfungen in geschützten Situationen ablegen können. Tatsächlich müssen Sie Kali Linux nicht installieren, da das Burp-Paket auf den meisten Arbeitssystemen zusammen mit dem relativ aktuellen macOS M1 als eigenständiges Paket installiert wird.
Neulinge sollten wahrscheinlich bei Ubuntu- oder Debian-Linux-Distributionen bleiben und Holen Sie sich das Installationsprogramm , denn Kali ist beeindruckend und ein leistungsfähigeres Betriebssystem für Pentester und Moralhacker.
Das Burp-Paket verfügt über viele erweiterte Funktionen, am beliebtesten ist jedoch der Burp-Proxy, der Anfragen abfangen kann. Wenn Sie diese Funktion unbedingt aktivieren möchten, müssen Sie den Browser unbedingt für die Verwendung des entsprechenden Proxys konfigurieren. Es gibt Browsererweiterungen, die die Arbeit erleichtern.
Auf jeden Fall benötigen Sie folgende Prüfungsbestandteile:
- eine Maschine mit installierter Burp Suite (verwenden Sie die Standardvoreinstellungen, um die Einrichtung zu beschleunigen)
- ein Browser, der mit dem Burp-Proxy konfiguriert ist (Firefox auf Kali ist der einfachste Weg)
- eine Internetanwendung zum Ausrauben
Erfahren Sie außerdem: Wie Hacker Aufklärung nutzen – und Methoden zu ihrem Schutz
Methoden zum Einrichten einer Burp Suite-Demo
Sie können das Burp-Paket auf Ihrem System konfigurieren oder die vorgefertigte Vorlage in Kali Linux verwenden, wissen dann aber nicht, was Sie damit machen sollen.
Mit diesen Informationen konzentrieren wir uns auf Pen-Tests. Aus dieser Perspektive, OWASP High Ten Es kann durchaus nützlich sein, um Ziele festzulegen und eine gesamte Arbeitssitzung zu konfigurieren, aber hier werden wir nur einige Schwachstellen aufzeigen.
Wir werden OWASP Juice Store, „im Wesentlichen die modernste und komplizierteste unsichere Internetsoftware“, als schwaches Ziel verwenden.
Die OWASP-Gruppen unterhalten diese fehlerhafte Internetanwendung für akademische Zwecke. Folge diesem Link Anweisungen zur Konfiguration auf Ihrem System (z. B. Kali VM) finden Sie hier.
Darüber hinaus benötigen Sie Node und NPM, die in Kali Linux nicht standardmäßig installiert sind. Sobald Sie sie haben, können Sie die Anwendung mit einem npm begin starten und zu http://localhost:3000 gehen:
Stellen Sie sicher, dass der Browser den Proxy unter 127.0.0.1 verwendet (Burps Standardport ist 8080). Wenn Sie nicht wissen, wie Sie es konfigurieren sollen, Lernen Sie die Dokumentation kennen .
Nachdem Sie alle Abhängigkeiten platziert und konfiguriert haben, sind Sie für die folgenden Schritte bereit.
Erfahren Sie außerdem: OWASP nennt zum ersten Mal seit Jahren eine neue große Sicherheitslücke
Wie fängt man Anfragen mit Burp ab?
Es gibt so viele Probleme im Zusammenhang mit Juicy Store, aber nehmen wir an, wir müssen Datensatztypen abfangen. Wir können diesen Angriff nachahmen, indem wir Burp öffnen (stellen Sie sicher, dass das Abfangen aktiviert ist) und einen Typ senden.
Der Screenshot oben zeigt, wie wir es gemacht haben. Schauen Sie sich die abgefangene Anfrage unten an:
Wenn wir dies an die Repeater-Funktion senden, können wir neue Kunden tatsächlich direkt von unserem Dashboard aus registrieren, indem wir dieselbe Anfrage mit neuen Werten senden. Da die Anwendung fehlerhaft ist, funktioniert sie tatsächlich:
Wir können auf „Senden“ klicken, um eine neue Person zu registrieren und zusätzliche Daten zu erhalten:
Der Weg scheint Kunden mit der Position „Käufer“ zu erstellen, als Pentester werden wir jedoch wahrscheinlich testen, ob wir die nächste Position erhalten, gleichbedeutend mit „Administrator“ oder „Administrator“. Es ist nicht zu erwarten, dass das passiert, aber wenn wir es bekommen, ist das Spiel für den Laden vorbei.
Es gibt mehrere Ansätze, aber ein einfacher könnte darin bestehen, den Datensatztyp, den wir zuvor abgefangen haben, ein neues Schlüssel-Wert-Paar „position=admin“ hinzuzufügen und die erstellte Anfrage zu senden:
Wie Sie sehen, haben wir die Bewertung „Erfolgreich“ erhalten und nachdem wir uns mit unserem neuen Administratorkonto angemeldet haben, haben wir einfach ein neues Problem gelöst:
Da die OWASP-Gruppen den Juicy Store für akademische Zwecke erstellt haben, müssen einige Herausforderungen gelöst werden, bevor wir die volle Kontrolle über die Umgebung übernehmen, aber es ist ein guter Anfang.
Erfahren Sie außerdem:
Ist Pentesting mit Burp einfach?
Wir verwenden nur die kostenlose Gruppenversion, aber die elegante Benutzeroberfläche bietet uns dennoch einen Mehrwert. Sie erhalten alle Teile, die Sie benötigen, um Daten zu erfassen, in verschiedene Codecs zu konvertieren, Anfragen zu dekodieren und wiederzugeben oder nach Schwachstellen zu suchen.
Sie können das Verhalten von Burp auch mit anpassen der Einzelhändler BApp . Auch für die Gruppenversion gibt es kostenlose Erweiterungen.
Pentester werden den Arbeitsbereich und die Möglichkeit bewundern, Initiativen zu ergreifen, um die Dinge zu organisieren und Arbeit zu sparen. Es gibt einen Eindringlingsmodus zum Laden bösartige Payloads und schicke sie zum Ziel.
Erfahren Sie unten: Die 10 besten Open-Source-Instrumente zur Schwachstellenbewertung
