Pokud jde o testování bezpečnosti webových aplikací, těžko byste našli sadu nástrojů lepší než Burp Suite od Portswigger webového zabezpečení. Umožňuje vám zachytit a sledovat webový provoz spolu s podrobnými informacemi o požadavcích a odpovědích na server a ze serveru.
V Burp Suite je příliš mnoho funkcí na to, aby je pokryla pouze jedna příručka, takže tato bude rozdělena do čtyř částí. Tato první část se bude zabývat nastavením Burp Suite a jeho používáním jako proxy pro Firefox. Druhý se bude zabývat tím, jak shromažďovat informace a používat server proxy Burp Suite. Třetí část přechází do realistického testovacího scénáře pomocí informací shromážděných prostřednictvím proxy serveru Burp Suite. Čtvrtý průvodce pokryje mnoho dalších funkcí, které Burp Suite nabízí.
V této příručce si procvičíte používání sady Burp Suite na instanci WordPress s vlastním hostitelem. Pokud potřebujete pomoc s nastavením, podívejte se do vašeho průvodce Debianem.
Burp Suite je na Kali Linuxu nainstalován ve výchozím nastavení, takže si s instalací nemusíte dělat starosti. Ve skutečnosti je to jedna z aplikací v seznamu oblíbených na živém CD Kali.
Otevřete jej a proklikejte se otevíracími nabídkami. Stačí použít výchozí nastavení. Existuje určitá hloubka konfigurace, do které se Burp Suite může dostat, ale pro tuto příručku nebo základní použití to není nutné.
Nastavení Firefoxu
Burp Suite obsahuje zachycovací proxy. Abyste mohli používat sadu Burp Suite, musíte nakonfigurovat prohlížeč tak, aby předával svůj provoz přes server proxy Burp Suite. To není příliš těžké udělat s Firefoxem, který je výchozím prohlížečem Kali Linuxu.
Otevřete Firefox a kliknutím na tlačítko nabídky otevřete nabídku nastavení Firefoxu. V nabídce klikněte na „Předvolby“. Tím se otevře karta „Předvolby“ ve Firefoxu. Úplně vlevo na kartě je další seznam nabídky. Klikněte na poslední možnost „Upřesnit“. V horní části karty „Upřesnit“ je nová nabídka. Klikněte na možnost „Síť“ uprostřed. V sekci „Síť“ klikněte na horní tlačítko označené „Nastavení…“, čímž se otevře nastavení proxy prohlížeče Firefox.
Pro práci s proxy je ve Firefoxu zabudováno několik možností. V této příručce vyberte přepínač „Ruční konfigurace proxy:“. Tím se otevře řada možností, které vám umožní ručně zadat IP adresu a číslo portu vašeho proxy pro každý z mnoha protokolů. Ve výchozím nastavení běží Burp Suite na portu 8080 , a protože to spouštíte na svém vlastním počítači, zadejte 127.0.0.1 jako IP. Vaší hlavní starostí bude HTTP, ale pokud se cítíte líní, můžete zaškrtnout políčko „Použít tento proxy server pro všechny protokoly“.
Pod dalšími možnostmi ruční konfigurace je pole, které vám umožňuje zapsat výjimky pro proxy. Firefox přidá oba název, localhost a také IP, 127.0.0.1 , do tohoto oboru. Buď je smažte, nebo upravte, protože budete sledovat provoz mezi vaším prohlížečem a lokálně hostovanou instalací WordPressu.
S nakonfigurovaným Firefoxem můžete pokračovat v konfiguraci Burp a spuštění proxy.
Konfigurace serveru proxy
Proxy by měl být nakonfigurován ve výchozím nastavení, ale věnujte chvíli jeho kontrole. Pokud budete chtít nastavení v budoucnu změnit, udělejte to stejným způsobem.
V okně Burp Suite klikněte na „Proxy“ v horní řadě karet a poté na „Možnosti“ na nižší úrovni. V horní části obrazovky by mělo být uvedeno „Posluchači proxy“ a pole s localhost IP a port 8080 . Vedle něj nalevo by mělo být zaškrtnuté políčko ve sloupci „Spuštěno“. Pokud je to to, co vidíte, jste připraveni začít zachycovat provoz pomocí Burp Suite.
Úvahy na závěr
V tuto chvíli máte sadu Burp spuštěnou jako proxy pro Firefox a jste připraveni ji začít používat k zachycování informací přicházejících z Firefoxu do vaší lokálně hostované instalace WordPressu.
V další příručce tyto informace zachytíte a naučíte se, jak je číst a rozdělit na použitelné části. Množství informací, které může Burp Suite shromáždit, je docela úžasné a otevírá svět nových možností pro testování vašich webových aplikací.