Учебник Burp Suite

Учебник Burp Suite

by moiseevrus

Burp Suite — это набор устройств, используемых для пентестинга и проверки безопасности. Этот учебник в основном посвящен бесплатной версии. Burp Suite может действовать как прерывающий прокси-сервер, а также перехватывать трафик между интернет-браузером и веб-сервером. Другие функции Burp Suite включают в себя сканер, паука с поддержкой приложений, злоумышленника, ретранслятор, секвенсор, компаратор, расширитель и декодер.

 

Функции

Ниже приведено описание возможностей Burp Suite:

  • Сканер: Сканирует на наличие уязвимостей.
  • Паук, учитывающий приложения: используется для пролистывания заданного экстента страниц.
  • Злоумышленник : используется для выполнения атак и грубой силы на страницах адаптируемым способом.
  • Повторитель : используется для контроля и перенаправления всех запросов.
  • Sequencer : используется для тестирования токенов сеанса.
  • Расширитель : позволяет вам легко создавать свои плагины для получения пользовательских функций.
  • Компаратор и декодер: оба используются для разных целей.

Отрыгивающий паук

В Burp Suite также есть ошибка, известная как Burp Spider. Burp Spider — это программа, которая просматривает все целевые страницы, указанные в области. Перед запуском ошибки Burp необходимо настроить Burp Suite для захвата HTTP-трафика .

Что такое входное тестирование веб-приложений?

Входное тестирование веб-приложений выполняет цифровую атаку, чтобы собрать данные о вашей структуре, обнаружить в ней слабые места и выяснить, как эти недостатки могут в конечном итоге поставить под угрозу ваше приложение или систему.

Интерфейс

Как и другие инструменты, Burp Suite содержит строки, строки меню и различные наборы панелей.

В приведенной ниже таблице показаны различные варианты, описанные ниже.

  1. Вкладки выбора инструментов и параметров: выберите инструменты и настройки.
  2. Просмотр карты сайта: показывает карту сайта.
  3. Очередь запросов: показывает, когда выполняются запросы.
  4. Сведения о запросе/ответе: показывает запросы и ответы от сервера.

Паукообразный поиск веб-сайта является важной функцией выполнения тестов веб-безопасности. Это помогает определить степень веб-приложения. Как упоминалось выше, в Burp Suite есть собственный паук, называемый Burp Spider, который может проникнуть на веб-сайт. В основном он включает четыре шага.

Шаги

Шаг 1: Настройте прокси

Сначала запустите Burp Suite и проверьте параметры на дополнительной вкладке « Параметры ».

IP -адрес обнаружения — это IP-адрес локального хоста , а порт — 8080 .

Кроме того, проверьте, чтобы перехват был включен. Откройте Firefox и перейдите на вкладку « Параметры ». Нажмите « Настройки », затем « Сеть» , затем « Настройки подключения » , а затем выберите « Ручная настройка прокси -сервера» .

Чтобы установить прокси, вы можете установить селектор прокси со страницы надстроек и нажать « Настройки » .

Перейдите в « Управление прокси » и включите другого посредника, завершив применимые данные.

Нажмите кнопку « Выбор прокси » в правом верхнем углу и выберите прокси, который вы только что создали.

Шаг 2: Получение контента

После того, как вы настроите прокси, перейдите к цели, введя URL-адрес в строке адреса. Вы можете видеть, что страница не загружается. Это происходит потому, что Burp Suite фиксирует ассоциацию.

В Burp Suite вы можете увидеть параметры запроса. Нажмите вперед, чтобы продвинуть ассоциацию. На этом этапе вы можете видеть, что страница сложена в программе.

Возвращаясь к Burp Suite, вы можете видеть, что все области заполнены.

Шаг 3: Выбор и запуск паука

Здесь выбираются объективные mutillidae . Щелкните правой кнопкой мыши цель mutillidae на карте сайта и выберите параметр « Паук отсюда ».

Когда начнется Паук, вы получите краткую информацию, как показано на прилагаемом рисунке. Это структура входа. Паук сможет сканировать на основе предоставленной информации. Вы можете пропустить этот процесс, нажав кнопку «Игнорировать форму».

Шаг 4: Манипуляции с деталями

По мере запуска ошибки дерево в ветви mutillidae заполняется. Аналогично, сделанные запросы отображаются в строке, а подробности перечислены на вкладке « Запрос ».

Перейдите к различным вкладкам и просмотрите все основные данные.

Наконец, проверьте, готов ли Паук, просмотрев вкладку Паук.

Это очень важные и начальные этапы тестирования веб-безопасности с использованием Burp Suite. Паукообразная разведка — важная часть разведки во время теста, и, выполнив ее, вы сможете лучше понять устройство целевого участка. В следующих учебных упражнениях мы применим это к различным инструментам в наборе устройств Burp Suite.

Вывод

Burp Suite можно использовать в качестве основного http-посредника для блокирования трафика для исследования и воспроизведения, сканера безопасности веб-приложений, инструмента для выполнения механизированных атак на веб-приложение, устройства для проверки всего сайта для распознавания поверхности атаки и модуль API с множеством доступных сторонних надстроек. Я надеюсь, что эта статья помогла вам узнать больше об этом замечательном инструменте для пентестинга.

 

Статья является переводом linuxhint.com

You may also like

Leave a Comment