Всем привет! Перед вами вторая статья и цикла Burp Suite. Тестирование web-приложений на проникновение.
Предыдущая часть:
Я надеюсь, вы последовали моим рекомендациям и скачали весь необходимый софт:
В Kali Linux и подобных системах Burp Suite запустить не составит труда, в ОС Windows тоже, если у вас версия Professional + Crack, то следуя инструкции, (они зачастую включены в пак) открываем приложение и выбираем в зависимости от типа лицензии:
Мой Professional немного ограничен (думает, что система x32), как вы видите в предупреждении, но это не страшно - позже исправим.
Далее, используем настройки по умолчанию и стартуем Burp. Позже, мы научимся сохранять файлы настроек и возвращаться к ним по мере необходимости.
Прослушивание HTTP трафика:
Burp Suite - описывается, как перехватывающий прокси. Это означает, что Burp находится между веб-браузером пользователя и веб-сервером приложения и перехватывает или задерживает весь поток трафика.
Этот тип поведения обычно называется прокси-сервисом.
Пентестеры используют перехватывающие прокси для захвата трафика, проходящего между веб-браузером и веб-приложением для анализа и манипулирования трафиком и запросами.
Например, тестер может приостановить любой HTTP-запрос, для изменения параметров перед отправкой запроса к веб-серверу.
Перехватывающие прокси, такие как Burp, позволяют тестировщикам перехватывать как HTTP-запросы, так и HTTP ответы. Это позволяет им наблюдать за поведением веб-приложения в разных условиях.
Чтобы увидеть Burp в действии, нам нужно настроить сетевые параметры нашего браузера Firefox так, чтобы они указывали на запущенный экземпляр Burp. Это позволит ему захватывать весь HTTP-трафик, проходящий между вашим браузером и целевым веб-приложением.
Мы настроим Firefox, чтобы Burp прослушивал весь поток HTTP-трафика между браузером и виртуальной машиной OWASP BWA. Это позволит прокси-серверу в Burp захватывать трафик для анализа.
Запускаем OWASP BWA и Burp Suite, переходим во вкладку Proxy, чтобы убедиться, что трафик успешно проходит через наш прокси:
Активация функции Intercept, позволит задержать и отредактировать запрос перед его отправкой на web – сервер:
Burp Suite, OWASP BWA и Firefox подготовлены, переходим к следующей части.
Знакомство с инструментами Burp Suite.
Затем следует введение в Message Editor. Далее рассмотрим различные сценарии с использованием раздела OWASP Mutillidae II, для более детального знакомства с Proxy, Repeater, Decoder и другими инструментами.
Настройка Target Site Map:
Теперь, когда мы оперируем трафиком, проходящим между браузером, Burp и виртуальной машиной OWASP BWA, мы можем приступить к настройке области наших тестов в разделе OWASP Mutillidae II.
Перейдем по ссылке:
Вы можете найти огромное количество информации, но определение масштаба нашего проекта поможет лучше сфокусировать наше внимание.
Выполняем следующие шаги для установки целевой карты сайта:
Найдите папку mutillidae и добавьте ее в анализируемую область.
После добавления папки mutillidae в вашу область может появиться диалоговое окно ведения журнала истории прокси, как показано ниже. Вы можете отказаться от сбора сообщений, нажав Да. Или же вы можете продолжить, чтобы таблица HTTP прокси-сервера продолжала собирать любые сообщения, проходящие через Burp, даже если эти сообщения выходят за пределы указанной вами области. Для наших целей мы выберем Да:
Область нашего исследования выглядит следующим образом:
Message Editor.
Редактор сообщений отображает подробную информацию о любом сообщении HTTP, проходящем через Proxy. После настройки прокси-сервера для захвата HTTP-трафика, во вкладках Target | Site и Proxy | HTTP, вы можете выбрать любое сообщение, чтобы открыть его в редакторе. Каждый редактор содержит стороны Request и Response, при условии, что сообщение правильно проксируется через Burp.
Редактор сообщений позволяет просматривать и редактировать HTTP-запросы и ответы.
В нем есть несколько вложенных вкладок. Вложенные вкладки для сообщения Request, как минимум, включают следующее:
Для запросов, содержащих параметры или файлы cookie, имеется вкладка «Params». Параметры доступны для редактирования, и столбцы можно добавлять, удалять или изменять в таблице с помощью таких инструментов, как Proxy и Repeater.
Наконец, есть вкладка «Hex», которая представляет сообщение в шестнадцатеричном формате; по сути, это шестнадцатеричный редактор. Вам разрешено редактировать отдельные байты в таких инструментах, как Proxy и Repeater, но эти значения должны быть заданы в шестнадцатеричной форме с двумя цифрами, от 00 до FF.
Вот, как это выглядит на примере:
Работа с Repeater.
Repeater позволяет вносить изменения в запрос, мы его видим в левом окне. Каждое сообщение из перехваченного нами трафика, можно модифицировать в Repeater и отправить повторно, что и понятно из названия инструмента.
Кнопка Go отправляет запрос приложению, а ответ отображается в правом окне.
Request включает в себя Raw, Params (для запросов с параметрами или файлами cookie), Headers и Hex.
Детали, относящиеся к HTTP-ответу, включают в себя стандартные Raw, Headers, Hex, а иногда и HTML и Render.
Внизу каждой панели находится текстовое поле поиска, позволяющее тестеру быстро найти значение, присутствующее в сообщении.
Работа с Decoder.
Burp Decoder - это инструмент, который позволяет тестеру преобразовывать необработанные данные в закодированные данные или извлекать закодированные данные и преобразовывать их обратно в обычный текст.
Декодер поддерживает несколько форматов, включая URL-кодирование, HTML-кодирование, кодирование Base64, двоичный код, хэшированные данные и другие. Декодер также включает в себя встроенный шестнадцатеричный редактор.
По ходу проведения тестирования на проникновение, тестировщику часто могут попадаться закодированные значения. Декодер знатно упрощает в этом плане, нам жизнь, позволяя отправлять в него закодированное значение и использовать различные функции декодирования.
Попробуем декодировать значение токена сеанса PHPSESSID, найденного в приложении OWASP Mutillidae II.
Когда мы переходим по ссылке:
Выделите значение PHPSESSID, щелкните правой кнопкой мыши и выберите «Отправить в декодер»:
Можем декодировать и кодировать данные, как нам заблагорассудится, в рамках предоставленного инструментария:
На этом, пока, остановимся, можно потренироваться с редактированием запросов, освоится в работе Burp и посмотреть примеры работы с этими инструментами, дополнительно в сети.
В следующей части, продолжим осваивать основные инструменты Burp Suite, а затем перейдем к практическому их применению.
Специально для CODEBY.NET
Предыдущая часть:
Я надеюсь, вы последовали моим рекомендациям и скачали весь необходимый софт:
- Oracle VirtualBox
- Mozilla Firefox Browser
- 7-Zip file archiver
- Burp Suite - Community or Professional
- Oracle Java
- OWASP BWA VM
- Подготовка Burp Suite к работе.
- Прослушивание HTTP трафика.
- Знакомство с инструментами Burp Suite.
В Kali Linux и подобных системах Burp Suite запустить не составит труда, в ОС Windows тоже, если у вас версия Professional + Crack, то следуя инструкции, (они зачастую включены в пак) открываем приложение и выбираем в зависимости от типа лицензии:
- Если вы используете редакцию Community, вы сможете создать только временный проект. Если вы используете Professional версию, создайте новый проект на диске, сохраняя его в соответствующем месте для вас.
Мой Professional немного ограничен (думает, что система x32), как вы видите в предупреждении, но это не страшно - позже исправим.
Далее, используем настройки по умолчанию и стартуем Burp. Позже, мы научимся сохранять файлы настроек и возвращаться к ним по мере необходимости.
Прослушивание HTTP трафика:
Burp Suite - описывается, как перехватывающий прокси. Это означает, что Burp находится между веб-браузером пользователя и веб-сервером приложения и перехватывает или задерживает весь поток трафика.
Этот тип поведения обычно называется прокси-сервисом.
Пентестеры используют перехватывающие прокси для захвата трафика, проходящего между веб-браузером и веб-приложением для анализа и манипулирования трафиком и запросами.
Например, тестер может приостановить любой HTTP-запрос, для изменения параметров перед отправкой запроса к веб-серверу.
Перехватывающие прокси, такие как Burp, позволяют тестировщикам перехватывать как HTTP-запросы, так и HTTP ответы. Это позволяет им наблюдать за поведением веб-приложения в разных условиях.
Чтобы увидеть Burp в действии, нам нужно настроить сетевые параметры нашего браузера Firefox так, чтобы они указывали на запущенный экземпляр Burp. Это позволит ему захватывать весь HTTP-трафик, проходящий между вашим браузером и целевым веб-приложением.
Мы настроим Firefox, чтобы Burp прослушивал весь поток HTTP-трафика между браузером и виртуальной машиной OWASP BWA. Это позволит прокси-серверу в Burp захватывать трафик для анализа.
- Откройте браузер Firefox и перейдите в Параметры.
- На вкладке «Общие» прокрутите вниз до раздела «Сетевой прокси» и нажмите «Настройки».
- В настройках подключения выберите «Настройка прокси-сервера вручную» и введите IP-адрес 127.0.0.1 с портом 8080. Выберите «Использовать этот прокси-сервер для всех».
Запускаем OWASP BWA и Burp Suite, переходим во вкладку Proxy, чтобы убедиться, что трафик успешно проходит через наш прокси:
Активация функции Intercept, позволит задержать и отредактировать запрос перед его отправкой на web – сервер:
- В данном выше примере, адрес 192.168.0.114 принадлежит OWASP BWA, я сделал несколько кликов по сайту, чтобы посмотреть на запросы.
- Включенная функция Intercept, не позволит запросам проходить между браузером и приложением.
Burp Suite, OWASP BWA и Firefox подготовлены, переходим к следующей части.
Знакомство с инструментами Burp Suite.
- Понимание работы Message Editor
- Знакомство с Repeater
- Работа с Decoder
Затем следует введение в Message Editor. Далее рассмотрим различные сценарии с использованием раздела OWASP Mutillidae II, для более детального знакомства с Proxy, Repeater, Decoder и другими инструментами.
Настройка Target Site Map:
Теперь, когда мы оперируем трафиком, проходящим между браузером, Burp и виртуальной машиной OWASP BWA, мы можем приступить к настройке области наших тестов в разделе OWASP Mutillidae II.
Перейдем по ссылке:
- [your ip]/mutillidae/
Вы можете найти огромное количество информации, но определение масштаба нашего проекта поможет лучше сфокусировать наше внимание.
Выполняем следующие шаги для установки целевой карты сайта:
Найдите папку mutillidae и добавьте ее в анализируемую область.
После добавления папки mutillidae в вашу область может появиться диалоговое окно ведения журнала истории прокси, как показано ниже. Вы можете отказаться от сбора сообщений, нажав Да. Или же вы можете продолжить, чтобы таблица HTTP прокси-сервера продолжала собирать любые сообщения, проходящие через Burp, даже если эти сообщения выходят за пределы указанной вами области. Для наших целей мы выберем Да:
Область нашего исследования выглядит следующим образом:
Message Editor.
Редактор сообщений отображает подробную информацию о любом сообщении HTTP, проходящем через Proxy. После настройки прокси-сервера для захвата HTTP-трафика, во вкладках Target | Site и Proxy | HTTP, вы можете выбрать любое сообщение, чтобы открыть его в редакторе. Каждый редактор содержит стороны Request и Response, при условии, что сообщение правильно проксируется через Burp.
Редактор сообщений позволяет просматривать и редактировать HTTP-запросы и ответы.
В нем есть несколько вложенных вкладок. Вложенные вкладки для сообщения Request, как минимум, включают следующее:
- Raw
- Headers
- Hex
- Raw
- Headers
- Hex
- HTML (иногда)
- Render (иногда)
Для запросов, содержащих параметры или файлы cookie, имеется вкладка «Params». Параметры доступны для редактирования, и столбцы можно добавлять, удалять или изменять в таблице с помощью таких инструментов, как Proxy и Repeater.
Наконец, есть вкладка «Hex», которая представляет сообщение в шестнадцатеричном формате; по сути, это шестнадцатеричный редактор. Вам разрешено редактировать отдельные байты в таких инструментах, как Proxy и Repeater, но эти значения должны быть заданы в шестнадцатеричной форме с двумя цифрами, от 00 до FF.
Вот, как это выглядит на примере:
Работа с Repeater.
Repeater позволяет вносить изменения в запрос, мы его видим в левом окне. Каждое сообщение из перехваченного нами трафика, можно модифицировать в Repeater и отправить повторно, что и понятно из названия инструмента.
Кнопка Go отправляет запрос приложению, а ответ отображается в правом окне.
Request включает в себя Raw, Params (для запросов с параметрами или файлами cookie), Headers и Hex.
Детали, относящиеся к HTTP-ответу, включают в себя стандартные Raw, Headers, Hex, а иногда и HTML и Render.
Внизу каждой панели находится текстовое поле поиска, позволяющее тестеру быстро найти значение, присутствующее в сообщении.
Работа с Decoder.
Burp Decoder - это инструмент, который позволяет тестеру преобразовывать необработанные данные в закодированные данные или извлекать закодированные данные и преобразовывать их обратно в обычный текст.
Декодер поддерживает несколько форматов, включая URL-кодирование, HTML-кодирование, кодирование Base64, двоичный код, хэшированные данные и другие. Декодер также включает в себя встроенный шестнадцатеричный редактор.
По ходу проведения тестирования на проникновение, тестировщику часто могут попадаться закодированные значения. Декодер знатно упрощает в этом плане, нам жизнь, позволяя отправлять в него закодированное значение и использовать различные функции декодирования.
Попробуем декодировать значение токена сеанса PHPSESSID, найденного в приложении OWASP Mutillidae II.
Когда мы переходим по ссылке:
- [your ip]/mutillidae/
Выделите значение PHPSESSID, щелкните правой кнопкой мыши и выберите «Отправить в декодер»:
Можем декодировать и кодировать данные, как нам заблагорассудится, в рамках предоставленного инструментария:
На этом, пока, остановимся, можно потренироваться с редактированием запросов, освоится в работе Burp и посмотреть примеры работы с этими инструментами, дополнительно в сети.
В следующей части, продолжим осваивать основные инструменты Burp Suite, а затем перейдем к практическому их применению.
Специально для CODEBY.NET
Последнее редактирование:
