Úvod
Je důležité si uvědomit, že Burp Suite je softwarová sada, a proto byla potřeba celá série, která by pokryla i jen základy. Vzhledem k tomu, že se jedná o sadu, je v ní obsaženo také více nástrojů, které fungují ve spojení s ostatními a proxy, které již znáte. Tyto nástroje mohou výrazně zjednodušit testování libovolného počtu aspektů webové aplikace.
Tato příručka se nebude zabývat každým nástrojem a nezachází příliš do hloubky. Některé nástroje v Burp Suite jsou dostupné pouze s placenou verzí sady. Ostatní se obecně nepoužívají tak často. V důsledku toho byly vybrány některé z běžněji používaných, aby vám poskytly nejlepší možný praktický přehled.
Všechny tyto nástroje lze nalézt v horní řadě karet v Burp Suite. Stejně jako proxy, mnoho z nich má podkarty a podnabídky. Neváhejte prozkoumat, než se pustíte do jednotlivých nástrojů.
Cíl
Cíl není moc nástroj. Je to spíše alternativní pohled na provoz shromažďovaný prostřednictvím proxy serveru Burp Suite. Cíl zobrazuje veškerý provoz podle domény ve formě sbalitelného seznamu. Pravděpodobně si v seznamu všimnete některých domén, které si určitě nepamatujete. Je to proto, že tyto domény jsou obvykle místa, kde byly na navštívené stránce uloženy položky jako CSS, písma nebo JavaScript, nebo jsou zdrojem reklam, které se na stránce zobrazily. Může být užitečné vidět, kam směřuje veškerý provoz na jedné stránce požadavku.
Pod každou doménou v seznamu je seznam všech stránek, z nichž byla v rámci dané domény požadována data. Níže mohou být konkrétní požadavky na aktiva a informace o konkrétních požadavcích.
Když vyberete požadavek, můžete vidět shromážděné informace o požadavku zobrazené na straně sbalitelného seznamu. Tyto informace jsou stejné jako informace, které jste mohli zobrazit v sekci Historie HTTP serveru proxy, a jsou ve stejném formátu. Target vám nabízí jiný způsob, jak jej uspořádat a získat přístup.
Opakovač
Opakovač je, jak název napovídá, nástroj, který vám umožňuje opakovat a měnit zachycený požadavek. Můžete odeslat požadavek do opakovače a opakovat požadavek tak, jak byl, nebo můžete ručně upravit části požadavku, abyste získali více informací o tom, jak cílový server zpracovává požadavky.
Najděte svůj neúspěšný požadavek na přihlášení ve své historii HTTP. Klikněte pravým tlačítkem na požadavek a vyberte „Odeslat opakovači“. Zvýrazní se karta Repeater. Klikněte na něj a v levém poli se zobrazí váš požadavek. Stejně jako na kartě Historie HTTP budete moci zobrazit požadavek v několika různých formách. Kliknutím na „Go“ odešlete požadavek znovu.
Odpověď ze serveru se objeví v pravém poli. Bude to také stejné jako původní odpověď, kterou jste obdrželi od serveru, když jste poprvé odeslali požadavek.
Klikněte na záložku „Params“ pro požadavek. Zkuste upravit parametry a odeslat požadavek, abyste viděli, co dostanete na oplátku. Můžete změnit své přihlašovací údaje nebo dokonce jiné části požadavku, které mohou způsobit nové typy chyb. Ve skutečném scénáři byste mohli použít opakovač k prozkoumání okolí a zjistit, jak server reaguje na různé parametry nebo na jejich nedostatek.
Vetřelec
Nástroj vetřelce je velmi podobný aplikaci hrubé síly, jako je Hydra z posledního průvodce. Nástroj vetřelce sice nabízí několik různých způsobů, jak spustit testovací útok, ale má také omezené možnosti v bezplatné verzi Burp Suite. V důsledku toho je stále pravděpodobně lepší nápad použít nástroj, jako je Hydra, pro úplný útok hrubou silou. Nástroj vetřelce však lze použít pro menší testy a může vám poskytnout představu o tom, jak bude server reagovat na větší test.
Karta „Cíl“ je přesně taková, jaká vypadá. Zadejte název nebo IP cíle, který chcete testovat, a port, na kterém chcete testovat.
Záložka „Positions“ vám umožňuje vybrat oblasti požadavku, které Burp Suite nahradí v proměnných ze seznamu slov. Ve výchozím nastavení Burp Suite vybere oblasti, které by se běžně testovaly. To můžete nastavit ručně pomocí ovládacích prvků na straně. Vymazat odstraní všechny proměnné a proměnné lze přidat a odebrat ručně tak, že je zvýrazníte a kliknete na „Přidat“ nebo „Odebrat“.
Záložka „Positions“ také umožňuje vybrat, jak bude Burp Suite tyto proměnné testovat. Sniper bude procházet každou proměnnou najednou. Battering Ram proběhne všechny pomocí stejného slova ve stejnou dobu. Pitchfork a Cluster Bomb jsou podobné předchozím dvěma, ale používají několik různých seznamů slov.
Karta „Payloads“ vám umožňuje vytvořit nebo načíst seznam slov pro testování pomocí nástroje vetřelce.
Porovnávač
Posledním nástrojem, kterému se tato příručka bude věnovat, je „Porovnávač“. Ještě jednou, porovnávací nástroj s příhodným názvem porovnává dva požadavky vedle sebe, takže můžete snadněji vidět rozdíly mezi nimi.
Vraťte se a najděte neúspěšný požadavek na přihlášení, který jste odeslali na WordPress. Klikněte na něj pravým tlačítkem a vyberte „Odeslat k porovnání“. Pak najděte ten úspěšný a udělejte to samé.
Měly by se objevit na kartě „Porovnávač“ nad sebou. V pravém dolním rohu obrazovky je štítek s nápisem „Porovnat…“ se dvěma tlačítky pod ním. Klikněte na tlačítko „Slova“.
Otevře se nové okno s požadavky vedle sebe a se všemi ovládacími prvky s kartami, které jste měli v historii HTTP pro formátování jejich dat. Můžete je snadno seřadit a porovnat sady dat, jako jsou záhlaví nebo parametry, aniž byste museli přepínat mezi požadavky.
Úvahy na závěr
A je to! Prošli jste všemi čtyřmi částmi tohoto přehledu Burp Suite. Nyní máte dostatečně silné znalosti, abyste mohli sami používat a experimentovat se sadou Burp a používat ji ve svých vlastních penetračních testech pro webové aplikace.