D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Burp Suite Pro https://portswigger.net/burp - это платформа для выполнения тестирования по безопасности веб-приложений.
С помощью этого инструмента можно протестировать буквально все, что вы захотите. Программу могут использовать не только профессионалы, но и новички с минимальным количеством усилий для ее освоения. Программа написана на Java, поэтому может работать на различных платформах, например, Windows, Linux или Mac.
Интерфейс Burp Suite интуитивно понятный, а среди инструментов есть прокси, паук, сканер, декодер, репитер, анализатор последовательностей и многое другое. В этой статье мы рассмотрим как пользоваться Burp Suite, основные возможности программы, а также как ее установить и настроить.
В этой заметке поделюсь несколькими приёмами, как использовать данный инструмент более эффективно, но наданный момент три самых топовых методички выложены на английском.
На следующем шаге вы можете выбрать версию в виде скрипта для Linux или же просто Jar файл, который можно запускать в любой операционной системе.
Но в нашем случае проф версия устанавливается по мануалу https://portswigger.net/burp/documentation/desktop/getting-started/download-and-install
Узнали как установить Burp Suite, идём далее.
Откройте командную строку в вашей системе:
Затем наберите такую команду:
java --version
Если java установлена, то вы узнаете ее версию, если же нет, то вам будет нужно ее установить. Дальше вы можете запустить программу просто выполнив двойной клик по файлу .jar. Но можно запускать и через терминал:
java -jar -Xmx1024m burpsuite_pro_v2023.8.jar
Здесь 1024 - это объем оперативной памяти, который компьютер выделит программе. Если все хорошо, то вы увидите заставку.
Дальше идет первоначальная настройка программы. В первом окне выберите "Temponary project".
Затем выберите "Use Burp defaults".
Настройка burp suite завершена.
Чаще всего Burp Suite используется в качестве прокси, именно с него мы и начнем.
Чтобы использовать модуль прокси, выполните следующие действия:
Модуль Proxy чрезвычайно полезен для выявления уязвимостей безопасности, таких как SQL-инъекция и межсайтовый скриптинг (XSS). Он позволяет изменять параметры и полезные данные в перехваченных запросах для проверки веб-приложения на наличие уязвимостей.
Данная настройка будет работать только для не SSL сайтов. Для обработки HTTPS вам понадобится импортировать сертификат в браузер, а это уже выходит за рамки данной статьи. Теперь откройте любую ссылку в браузере, например, http://compizomania.blogspot.com/.
Страница не откроется, а на вкладке "Proxy", "Intercept" вы увидите запрос, отправленный браузером. Его можно отредактировать.
Если не сработало, убедитесь, что включена опция "Intercept is on". Дальше у вас есть три кнопки
Здесь мы говорим, что хотим перехватить ответ на этот запрос, далее нажмите "Forward".
Затем вы увидите перехваченный ответ, его тоже можно редактировать, пока он не был отправлен в браузер, можете заменить.
Дальше нажмите "Forward". Вам нужно будет нажать эту кнопку несколько раз поскольку страница будет пытаться загрузить много нужных ей ресурсов. Или же вы можете установить флажок "Intercept off" чтобы страница загрузилась сама без запросов.
Все перехваченные запросы можно видеть на вкладке "HTTP history".
Отсюда их можно отправить в один из инструментов. Прокси может намного больше. Здесь есть автоматическая замена. Перейдите на вкладку "Options" и найдите "Match & Replace".
Дальше нажмите "Add" чтобы добавить правило. Тут нужно указать место, где будет выполняться замена, например "Response Body" - в теле ответа. Затем слово или регулярное выражение, которое нужно заменить и на что заменить.
После сохранения правила, нужно поставить напротив него галочку, чтобы его активировать.
Теперь все вхождения указанного слова будут заменяться в получаемых ответах. Только не забудьте про кэш браузера и ответ 304 Not Modified.
Чтобы использовать модуль сканера, выполните следующие действия:
Чтобы использовать модуль Intruder, выполните следующие действия:
Модуль Intruder полезен для тестирования безопасности веб-приложений путем имитации различных сценариев атак. Это может помочь выявить уязвимости, такие как слабые пароли, небезопасное управление сеансами и многое другое.
Будет лучше, если вы возьмете цель на вкладке "Proxy", тогда программа автоматически заполнит тело запроса и вам не понадобится писать его вручную. Для этого откройте "Proxy" -> "HTTP history", а затем найдите нужную ссылку.
Осталось только нажать на ссылке правой кнопкой и выбрать "Send to Intruder". Затем запрос появится там, где нужно.
На вкладке "Positions" нужно отметить участки текста или позиции, в которые вы будете подставлять свои значения. Для этого отметьте участок текста и нажмите "Add $$".
Еще, на этой же вкладке нужно выбрать тип атаки. Доступны такие варианты:
А затем с помощью кнопки "Add" добавьте несколько пунктов. Осталось нажать кнопку "Start Attack" чтобы начать проверку.
Атака откроется в новом окне, здесь вы сможете увидеть результат, в таблице сразу выводится статус код и размер ответа. Далее вы можете более подробно посмотреть ответ для интересующих вас запросов на вкладке "Response".
Чтобы использовать модуль повторителя, выполните следующие действия:
Чтобы добавить URL, вам нужно опять найти ее на вкладке "Proxy", а потом нажать "Send to Repeater".
Дальше, на вкладке "Repeater" перед вами появится нужный запрос.
Настройте нужные параметры или измените необходимым образом ссылку и нажмите "Go" чтобы выполнять запрос. Так вам будет проще понять как правильно сделать перед тем, как переходить к массовым запросам в Intruder.
Burp Suite Pro 2023.8
Лучшие расширения Burp Suite :
Данный плагин показывает публичные уязвимости для приложений, обнаруженные в трафике, который проксирует Burp. Расширение было написано Иваном Ёлкиным, одним из сооснователей сервиса vulners.com. Представляет собой, по сути, прослойку между Burp и API этого отличного агрегатора уязвимостей.
Работает все предельно просто. Настраиваем прокси-сервер, а затем ходим по сайту или тыкаем в веб-приложение. В это время плагин анализирует трафик, находит в нем маркеры установленного на удаленной машине софта и детектирует версии. Сюда входят веб-серверы (nginx, Apache, Tomcat и так далее), всевозможные CMS (WordPress, Drupal, Joomla и другие) и прочее. Затем обнаруженная информация отправляется в виде запросов к API vulners.com, а нам в красивом окошке выводится список доступных уязвимостей.
В настройках можно изменять существующие или добавлять новые правила для определения и поиска уязвимых приложений.
В целом Vulners Scanner - очень удобная штука. Пока я вручную изучаю цель, сканер на автомате ищет потенциальные уязвимости.
Спойлер: SQLiPy
SQLiPy помогает с автоматизацией SQL-инъекций. Данный плагин также работает с API - тем, что предоставляет популярная утилита SQLMap. Думаю, что каждый, кто когда-либо возился с SQLi, слышал про эту тулзу. Однако не все знают, что она может работать в режиме REST API. Для этого ее нужно запустить таким образом:
python sqlmapapi.py -s -H <ip-адрес> -p <порт>
Хочу обратить ваше внимание, что существует возможность запуска API прямо из интерфейса расширения. Но даже сами разработчики рекомендуют запускать его из командной строки.
Затем во вкладке SQLMap Scanner в настройках плагина нужно указать адрес нашего API. Теперь все, что от вас требуется, - это выбрать подопытный запрос, кликнуть правой кнопкой мыши внутри его тела и выбрать пункт SQLiPy Scan.
Снова откроется вкладка SQLMap Scanner, но уже с заполненными данными по запросу. Тут вы можете указать целую вязанку параметров, которые доступны в утилите SQLMap. После настройки нажимаем Start Scan. Если атака успешна, то ее детали будут видны в панели Issues.
Если же вас интересует более подробная информация о процессе сканирования, то ее можно отыскать на закладке SQLMap Logs. Выбирайте необходимый процесс и жмите кнопку Get.
Как вы уже наверное поняли, плагин поддерживает несколько процессов сканирования. Лично у меня на выделенном сервере тусуется такой вот API, и, не отрываясь от исследования приложения, я периодически отправляю на него подозрительные запросы через SQLiPy.
Спойлер: ActiveScan++
Об этом расширении, думаю, слышал каждый пользователь Burp Suite. Он написан одним из штатных разработчиков PortSwigger Джеймсом Кеттле (James Kettle), а первый коммит датирован 23 июня 2014 года. Но обновляется плагин и по сей день, что встречается нечасто.
ActiveScan++ расширяет стандартный перечень проверок, которые выполняются при работе активного и пассивного сканера. Он умеет находить такие уязвимости, как cache poisoning, DNS rebinding, различные инъекции в темплейты и экспрешены, а также делает дополнительные проверки для обнаружения XXE-инъекций и выявляет популярные баги типа shellshock, выполнение произвольного кода в Struts2 (CVE-2017-5638) и тому подобные.
Никаких настроек расширение не имеет, оно просто тихонько работает и отправляет сообщения о найденных проблемах в панель Issues.
Кстати, на всякий случай расскажу, что если вам нужно натравить активный сканер только на определенные места в запросе, то запрос нужно добавить в Intruder, расставить § в нужных позициях, и после чего нажать правой кнопкой мыши и выбрать Actively scan defined insertion points.
Спойлер: Backslash Powered Scanner
Еще один тихий плагин, созданный Джеймсом Кеттле. Нужен он, чтобы обнаруживать как известные, так и неизвестные типы уязвимостей. Манипулируя всевозможными параметрами из запроса, расширение пытается выявить нестандартное поведение сервера. Такие аномалии могут помочь при обнаружении как простых уязвимостей типа error-based SQL-инъекций, так и сложных XSS-инъекций с обходом встроенного WAF. Конечно же, расширение не дает полностью готовые решения, но может натолкнуть вас на правильный путь.
В отличие от плагина ActiveScan++ здесь есть некоторое количество настроек. Они расположены в пункте главного меню под названием Backslash, что нехарактерно.
Сканирование также идет в автоматическом режиме при работе активного сканера самого Burp. Если в процессе сканирования что-нибудь будет обнаружено, то результаты добавятся в панель Issues.
За дополнительной информацией о методике тестирования можно обратиться к посту в блоге PortSwigger.
Спойлер: SHELLING
Расширение SHELLING - это отличный инструмент для обнаружения уязвимостей типа RCE. Может использоваться как в автоматическом, так и в ручном режиме. Помимо простых тестов, пытается выполнить обход всевозможных фильтров пользовательских данных.
На момент написания статьи в магазине расширений Burp Suite была старая версия этого плагина. Поэтому скачивайте из репозитория актуальную и устанавливай ручками.
После успешной инсталляции появится новая вкладка под названием SHELLING. Она, в свою очередь, содержит еще пачку табов, в которых расположены многочисленные настройки расширения.
Настройки плагина SHELLING:
Здесь можно выбрать и тип атакуемой ОС, и пейлоад, который будет использоваться для получения отстука об успешно выполненной команде, переключение режима сканирования и многое-многое другое.
Также возможно выгрузить пейлоады в виде текстового файла и использовать их в Intruder или в любой другой утилите.
Описать все настройки в статье - дело проблематичное. Поэтому оставляю вам это на домашнее изучение, благо в официальном репозитории имеется исчерпывающий мануал по всем доступным функциям расширения.
Спойлер: AuthMatrix & Autorize
Два плагина, которые, по сути, делают одно и то же и различаются только возможностями детальной настройки и интерфейсом. Нужны они для того, чтобы проверять корректность логики распределения прав доступа в приложении. На сегодняшний день редко можно встретить какой-нибудь сервис, в котором не используется система различных ролей пользователей. Так вот, частенько бывает, что администраторские разделы доступны и обычным пользователям. Чтобы автоматизировать такие проверки, я использую эти два плагина.
AuthMatrix можно назвать старшим братом Autorize: у него чуть больше опций и немного более гибкая настройка тестирования. Обычно мне хватает AuthMatrix.
Логика работы следующая. Логинимся в систему, например от администратора. Снифаем трафик по ходу того, как бегаем по разным разделам, доступным выбранному юзеру. Потом на вкладке Target или Proxy выбираем необходимые запросы и отправляем их в плагин через соответствующий пункт в контекстном меню.
Отправляем запросы в плагин AuthMatrix. После этого переходим на вкладку с плагином, где видим наши запросы.
Теперь нужно добавить пользователей. Это можно сделать, если нажать на кнопку New User и ввести имя пользователя. Теперь в таблице Cookies нужно заполнить соответствующие данные для каждого из созданных пользователей. Куки, которые вы здесь укажете, будут добавлены к тем, что находятся в запросе.
В примере я планирую проверить доступность страниц установки и настройки безопасности от админа (пользователь root) и анонима (пользователь guest). Поэтому куки для Guest пусты.
После этого я создал название ролей и поставил галочки для соответствующих пользователей. Почему существует возможность добавлять и роли, и пользователей? Это нужно, чтобы проверять те ситуации, когда определенные функции доступны только конкретному пользователю. Например, два разных юзера в системе должны видеть только свои приватные сообщения.
Теперь надо отметить чекбоксы соответствия: какие пользователи или роли какие запросы могут выполнять. В моем случае оба запроса могут выполнять только админы, что я и указал. После этой настройки остается только нажать на кнопку Run и чуток подождать.
Результаты тестирования отображаются в таблице в виде цветовых индикаторов. Зеленый цвет означает, что поведение нормальное, ответ от сервера был проверен с помощью регулярного выражения, указанного в Response Regex, и он соответствует ожиданию. То есть в ответе для пользователя Root (роль админа) он попадает в regex, а в ответе для пользователя Guest (роль анонима) - нет.
Красный цвет сигнализирует о том, что в этом месте, возможно, существует уязвимость (то есть ответ в обоих случаях соответствует регулярному выражению).
Существует еще и синий цвет, его вы увидите в том случае, когда расширение предполагает, что результат может быть ложноположительным.
Помимо куки, плагин поддерживает кастомные заголовки. Это позволяет покрыть случаи, когда авторизация выполняется при помощи различных токенов, например Bearer. Данный столбец можно добавить при помощи кнопки New Header.
Кроме этого есть возможность задать сложные цепочки действий. Например, если необходимо получать для каждого запроса валидный токен CSRF. Для добавления звена такой цепочки есть кнопка New Chain. Подробнее об этом можно прочитать в официальном репозитории плагина.
Autorize добавляет ко всему этому еще несколько интересных опций. Например, в нем можно автоматически проверять все проходящие через прокси запросы.
Оба расширения могут сохранять текущее состояние и настройки в отдельный файл, а Autorize умеет генерировать отчеты с результатами тестирования.
Спойлер: Burp HTTP Mock
HTTPMock может эмулировать произвольные ответы от сервера. Это полезно для тестирования ошибок на стороне фронтенда. С повсеместным засильем SPA, REST API и мобильных приложений это просто штука мастхев.
Чтобы воспользоваться возможностями Mock, надо добавить в него ответ от сервера для эмуляции. Проделать можно это вручную или выбрать существующий ответ из отснифанного трафика (это делается из контекстного меню).
Теперь во вкладке HTTPMock в разделе Mock rules появится ваш ответ. Столбцы Host, Port и File отвечают за адрес, к которому будет эмулироваться ответ из Response editor. Здесь можно писать регулярные выражения, что добавляет гибкости.
Я взял попавшееся под руку приложение для заказа пиццы и перехватил пакет с запросом информации о текущем пользователе. Добавил ответ на него в HTTPMock и изменил параметр count_points, который отвечает за количество бонусных баллов.
Теперь запрос от приложения для получения инфы о юзере будет перехватываться расширением, а измененный ответ предоставлен приложению как легитимный. Результат такой манипуляции можно видеть на скрине ниже.
Разумеется, это лишь один сценарий использования. Таким же образом можно вводить в заблуждение любые клиенты и искать несостыковки в их логике работы.
Спойлер: BypassWAF
Расширение с громким названием BypassWAF, написанное Джошем Берри (Josh Berry), позволяет пользоваться рядом трюков, которые помогут в нелегкой борьбе с навязчивым файрволом. Если этот зверь не дает вам спокойно раскручивать очередную SQL-инъекцию или вовсе режет ваши безобидные запросы, то BypassWAF - ваш выбор.
Среди трюков имеются такие штуки, как подмена популярных заголовков X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr (бывает, что запросы с локальной машины проходят мимо пристального взора WAF), различные манипуляции с Content-Type (случается, что под фильтрацию не попадают какие-то MIME-типы), разнообразная обфускация отправляемых параметров и все в таком духе. Настройка всего этого безобразия производится в отдельном табе Bypass WAF.
После внесения изменений нужно нажать на кнопку Set Configuration.
Чтобы расширение начало обрабатывать запросы, вам нужно перенаправить исходящий трафик в него. Для этого на вкладке Sessions в настройках проекта добавьте новое правило для обработки трафика.
На закладке Scope можете указать, трафик каких утилит должен проходить через BypassWAF, и дополнительно настроить фильтрацию определенных URL.
Указываем утилиты, трафик которых должен дополнительно проходить через BypassWAF. Например, укажите, чтобы весь трафик из Repeater уходил сначала в BypassWAF, а затем на сервер.
Спойлер: Burp SSL Scanner
Этот плагин проверит на прочность защищенное соединение с сервером. Здесь довольно внушительный список проверок, которые позволяют определить типичные слабые места в протоколах SSL и TLS. Тут вам и POODLE, и устаревшие версии SSL, и BREACH, и старинный Heartbleed (да, он еще встречается). Полный список вы можете найти на страничке репозитория на GitHub. Почти все проверки были портированы с небезызвестного скрипта testssl.sh. Теперь не нужно отрываться от Burp, чтобы выполнить эти тесты. Надо отметить, что расширение не поддерживает протокол TLS версии 1.3.
У плагина есть свой мини-интерфейс на отдельной вкладке SSL Scanner. Использовать его довольно легко. Вбиваем требуемый хост в поле Target и жмем кнопку Start Scanning.
По дефолту проверяется 443-й порт, но ничто не мешает указать кастомный порт через двоеточие.
Вы также можете отправлять в плагин любой URL, если из контекстного меняю выберете пункт Send URL to SSL Scanner.
Из минусов - не хватает кнопки «Остановить сканирование», так как оно имеет тенденцию затягиваться, особенно когда сервер очень хорошо отвечает на запросы.
Спойлер: J2EEScan
Напоследок парочка расширений для любимой Java. Первый - это очередной плагин-старичок авторства Энрико Миланезе (Enrico Milanese). Обнаруживает и тестирует различные J2EE (Java 2 Enterprise Edition) приложения на наличие известных уязвимостей. В арсенале расширения имеются такие старые добрые дыры, как JBoss SEAM Remote Command Execution (CVE-2010-1871), Expression Language Injection (CVE-2011-2730) и относительно новые вроде Apache Struts: S2-032 (CVE-2016-3081). Учитывая то, насколько сильно сопротивляются обновлениям энтерпрайз-решения, плагин бывает довольно полезен и периодически выручает интересными находками.
Плагин не требует никаких настроек, дополнительной возни не просит. Устанавливаем его, и он тихонько отрабатывает во время активного сканирования.
Спойлер: Freddy the Serial(isation) Killer
И последний плагин, о котором хотел рассказать, - Freddy the Serial(isation) Killer.
В последнее время стали очень популярны всевозможные атаки на десереализацию и шаблонизаторы. Особенно отличились на этом поприще некоторые Java-проекты типа Spring, WebLogic, Apache Commons. Это расширение как раз и помогает обнаружить проблемы десериализации и демаршалинга в разных библиотеках и API.
Здесь реализована поддержка разных форматов пейлоада, в том числе YAML и AMF. За основу была взята утилита marshalsec. Полный список поддерживаемых целей вы можете посмотреть на странице репозитория. Хочу также отметить, что, помимо Java, плагин умеет атаковать десериализаторы .NET, такие как FastJson, JavascriptSerializer, XmlSerializer.
Работает Фредди во время автоматического сканирования. Никак дополнительно настраивать его не надо, а все найденные уязвимости можно посмотреть в панели Issues.
С помощью этого инструмента можно протестировать буквально все, что вы захотите. Программу могут использовать не только профессионалы, но и новички с минимальным количеством усилий для ее освоения. Программа написана на Java, поэтому может работать на различных платформах, например, Windows, Linux или Mac.
Интерфейс Burp Suite интуитивно понятный, а среди инструментов есть прокси, паук, сканер, декодер, репитер, анализатор последовательностей и многое другое. В этой статье мы рассмотрим как пользоваться Burp Suite, основные возможности программы, а также как ее установить и настроить.
В этой заметке поделюсь несколькими приёмами, как использовать данный инструмент более эффективно, но наданный момент три самых топовых методички выложены на английском.
Установка Burp Suite
Вы можете загрузить программу из официального сайта. Для этого нажмите ссылку "Get Burp", затем выберите версию "Free".На следующем шаге вы можете выбрать версию в виде скрипта для Linux или же просто Jar файл, который можно запускать в любой операционной системе.
Но в нашем случае проф версия устанавливается по мануалу https://portswigger.net/burp/documentation/desktop/getting-started/download-and-install
Узнали как установить Burp Suite, идём далее.
Запуск Burp Suite
BurpSuite Pro требует OpenJDK v14+ для запуска https://jdk.java.net/Откройте командную строку в вашей системе:
- В Windows откройте меню "Пуск" и запустите "cmd.exe";
- В Mac OS X откройте главное меню, затем "Приложения", "Утилиты" - "terminal.app";
- В Linux запустите терминал из главного меню или нажмите Ctrl+Alt+T.
Затем наберите такую команду:
java --version
Если java установлена, то вы узнаете ее версию, если же нет, то вам будет нужно ее установить. Дальше вы можете запустить программу просто выполнив двойной клик по файлу .jar. Но можно запускать и через терминал:
java -jar -Xmx1024m burpsuite_pro_v2023.8.jar
Здесь 1024 - это объем оперативной памяти, который компьютер выделит программе. Если все хорошо, то вы увидите заставку.
Дальше идет первоначальная настройка программы. В первом окне выберите "Temponary project".
Затем выберите "Use Burp defaults".
Настройка burp suite завершена.
Как пользоваться Burp Suite
В набор инструментов BurpSuite входят такие программы, дальше кратко рассмотрим как пользоваться:- Прокси: позволяет перехватывать и изменять трафик между вашим браузером и целевым веб-приложением. Это полезно для тестирования и отладки веб-запросов и ответов.
- Сканер: автоматически сканирует веб-приложения на наличие распространенных уязвимостей безопасности, таких как внедрение SQL и межсайтовый скриптинг (XSS).
- Злоумышленник: используется для выполнения автоматических атак на веб-приложения. Он позволяет изменять параметры в HTTP-запросах и массово отправлять их для проверки на наличие уязвимостей.
- Повторитель: обеспечивает простой способ отправки отдельных HTTP-запросов к цели и анализа ответов. Это полезно для ручного тестирования и проверки.
- Sequencer: анализирует случайность токенов сеанса или других типов данных для выявления потенциальных слабых мест.
- Декодер: помогает декодировать и кодировать различные форматы данных, такие как base64, URL-кодированные и HTML-кодированные данные.
- Сравнитель: используется для сравнения двух похожих HTTP-запросов или ответов для выявления различий.
- Расширитель: позволяет расширить функциональность Burp Suite за счет добавления пользовательских плагинов. Вы можете разрабатывать свои собственные плагины или устанавливать плагины, разработанные сообществом
Чаще всего Burp Suite используется в качестве прокси, именно с него мы и начнем.
Использование прокси
Модуль Proxy лежит в основе Burp Suite и позволяет перехватывать и изменять веб-трафик между вашим браузером и целевым веб-приложением. Это полезно для наблюдения и управления HTTP-запросами и ответами при их прохождении через прокси-сервер.Чтобы использовать модуль прокси, выполните следующие действия:
- Запустите Burp Suite и перейдите на вкладку Прокси.
- Настройте свой браузер для использования Burp Suite в качестве прокси. Вы можете сделать это, изменив настройки прокси в сетевых настройках вашего браузера. Установите хост на localhost и порт на тот, который настроен в Burp Suite (по умолчанию это 127.0.0.1:8080 ).
- Посетите веб-сайт или выполните действие в браузере, которое вы хотите перехватить и проанализировать.
- В Burp Suite вы увидите перехваченный запрос на вкладке Прокси. Вы можете просматривать и изменять заголовки, параметры и тело запроса перед его пересылкой в целевое веб-приложение. Вы также можете изменить ответ до того, как он попадет в ваш браузер.
- Используйте различные параметры и фильтры на вкладке Прокси, чтобы выборочно перехватывать и изменять запросы и ответы. Вы также можете сохранять перехваченные запросы и ответы для дальнейшего анализа.
Модуль Proxy чрезвычайно полезен для выявления уязвимостей безопасности, таких как SQL-инъекция и межсайтовый скриптинг (XSS). Он позволяет изменять параметры и полезные данные в перехваченных запросах для проверки веб-приложения на наличие уязвимостей.
Данная настройка будет работать только для не SSL сайтов. Для обработки HTTPS вам понадобится импортировать сертификат в браузер, а это уже выходит за рамки данной статьи. Теперь откройте любую ссылку в браузере, например, http://compizomania.blogspot.com/.
Страница не откроется, а на вкладке "Proxy", "Intercept" вы увидите запрос, отправленный браузером. Его можно отредактировать.
Если не сработало, убедитесь, что включена опция "Intercept is on". Дальше у вас есть три кнопки
- "Forward" - пропустить пакет дальше;
- "Drop" - отбросить пакет;
- "Action" - действия с пакетом.
Здесь мы говорим, что хотим перехватить ответ на этот запрос, далее нажмите "Forward".
Затем вы увидите перехваченный ответ, его тоже можно редактировать, пока он не был отправлен в браузер, можете заменить.
Дальше нажмите "Forward". Вам нужно будет нажать эту кнопку несколько раз поскольку страница будет пытаться загрузить много нужных ей ресурсов. Или же вы можете установить флажок "Intercept off" чтобы страница загрузилась сама без запросов.
Все перехваченные запросы можно видеть на вкладке "HTTP history".
Отсюда их можно отправить в один из инструментов. Прокси может намного больше. Здесь есть автоматическая замена. Перейдите на вкладку "Options" и найдите "Match & Replace".
Дальше нажмите "Add" чтобы добавить правило. Тут нужно указать место, где будет выполняться замена, например "Response Body" - в теле ответа. Затем слово или регулярное выражение, которое нужно заменить и на что заменить.
После сохранения правила, нужно поставить напротив него галочку, чтобы его активировать.
Теперь все вхождения указанного слова будут заменяться в получаемых ответах. Только не забудьте про кэш браузера и ответ 304 Not Modified.
Использование сканера
Модуль Scanner в Burp Suite - это автоматический сканер уязвимостей, который может сканировать веб-приложения на наличие распространенных проблем с безопасностью. Он может выявлять уязвимости, такие как SQL-инъекция, межсайтовый скриптинг (XSS) и другие.Чтобы использовать модуль сканера, выполните следующие действия:
- Запустите Burp Suite и перейдите на вкладку Target.
- Добавьте целевое веб-приложение, указав URL-адрес или IP-адрес приложения.
- Настройте область сканирования, указав URL-адреса и параметры для включения или исключения.
- Во вкладке Сканер запустите сканирование, нажав на кнопку Начать сканирование.
- Burp Suite автоматически отправит различные полезные нагрузки и тестовые примеры в целевое веб-приложение для выявления уязвимостей. Результаты сканирования отобразятся на вкладке Сканер.
- Просмотрите результаты сканирования и классифицируйте уязвимости в зависимости от их серьезности и воздействия.
Использование злоумышленника
Модуль Intruder в Burp Suite позволяет выполнять автоматические атаки на веб-приложения, изменяя параметры и полезные данные в HTTP-запросах и отправляя их массово. Это полезно для тестирования безопасности веб-приложений путем перебора, фаззинга или повторения различных тестовых случаев.Чтобы использовать модуль Intruder, выполните следующие действия:
- Запустите Burp Suite и перейдите на вкладку Intruder.
- Загрузите HTTP-запрос, который вы хотите протестировать. Это можно сделать, скопировав и вставив запрос с вкладки Прокси или используя предопределенный шаблон.
- Определите параметры или позиции в запросе, которые вы хотите изменить. Burp Suite позволяет вам указывать заполнители или определять собственные правила для создания полезной нагрузки.
- Настройте полезные данные, указав тип полезных данных (например, целые числа, строки, файлы) и параметры полезных данных (например, длину, набор символов).
- Начните атаку, нажав на кнопку "Начать атаку". Burp Suite сгенерирует полезные нагрузки на основе вашей конфигурации и отправит измененные запросы в целевое веб-приложение.
- Просмотрите ответы и проанализируйте результаты. Вы можете использовать различные фильтры и параметры для сортировки и классификации ответов.
Модуль Intruder полезен для тестирования безопасности веб-приложений путем имитации различных сценариев атак. Это может помочь выявить уязвимости, такие как слабые пароли, небезопасное управление сеансами и многое другое.
Будет лучше, если вы возьмете цель на вкладке "Proxy", тогда программа автоматически заполнит тело запроса и вам не понадобится писать его вручную. Для этого откройте "Proxy" -> "HTTP history", а затем найдите нужную ссылку.
Осталось только нажать на ссылке правой кнопкой и выбрать "Send to Intruder". Затем запрос появится там, где нужно.
На вкладке "Positions" нужно отметить участки текста или позиции, в которые вы будете подставлять свои значения. Для этого отметьте участок текста и нажмите "Add $$".
Еще, на этой же вкладке нужно выбрать тип атаки. Доступны такие варианты:
- Sniper - одно поле - один payload;
- Battering ram - все поля - один payload;
- Pitchfork - то же, что и первый вариант, но позволяет связывать между собой данные из разных полей;
- Сluster bomb - поочередно перебирает все данные по всем полям.
А затем с помощью кнопки "Add" добавьте несколько пунктов. Осталось нажать кнопку "Start Attack" чтобы начать проверку.
Атака откроется в новом окне, здесь вы сможете увидеть результат, в таблице сразу выводится статус код и размер ответа. Далее вы можете более подробно посмотреть ответ для интересующих вас запросов на вкладке "Response".
Использование повторителя
Модуль Repeater в Burp Suite предоставляет простой способ отправки отдельных HTTP-запросов к цели и анализа ответов. Это полезно для ручного тестирования и проверки конкретных запросов и ответов.Чтобы использовать модуль повторителя, выполните следующие действия:
- Запустите Burp Suite и перейдите на вкладку Repeater.
- Загрузите HTTP-запрос, который вы хотите отправить. Это можно сделать, скопировав и вставив запрос с вкладки Прокси или используя предопределенный шаблон.
- При необходимости измените запрос, изменив параметры, заголовки или тело.
- Отправьте запрос целевому веб-приложению, нажав кнопку Перейти.
- Просмотрите и проанализируйте ответ на вкладке Repeater. Вы можете использовать различные параметры и фильтры, чтобы выделить определенные ключевые слова или шаблоны в ответе.
Чтобы добавить URL, вам нужно опять найти ее на вкладке "Proxy", а потом нажать "Send to Repeater".
Дальше, на вкладке "Repeater" перед вами появится нужный запрос.
Настройте нужные параметры или измените необходимым образом ссылку и нажмите "Go" чтобы выполнять запрос. Так вам будет проще понять как правильно сделать перед тем, как переходить к массовым запросам в Intruder.
- Complete Guide to Burp Suite : Learn to Detect Application Vulnerabilities (2021)
- Hands-on Penetration Testing for Web Applications (2021)
- Mastering Kali Linux for Advanced Penetration Testing: Become a cybersecurity ethical hacking expert using Metasploit, Nmap, Wireshark, and Burp Suite (2022)
Burp Suite Pro 2023.8
Лучшие расширения Burp Suite :
- 1 Burp Vulners Scanner
- 2 SQLiPy
- 3 ActiveScan++
- 4 Backslash Powered Scanner
- 5 SHELLING
- 6 AuthMatrix & Autorize
- 7 Burp HTTP Mock
- 8 BypassWAF
- 9 Burp SSL Scanner
- 10 J2EEScan
- 11 Freddy the Serial(isation) Killer
Данный плагин показывает публичные уязвимости для приложений, обнаруженные в трафике, который проксирует Burp. Расширение было написано Иваном Ёлкиным, одним из сооснователей сервиса vulners.com. Представляет собой, по сути, прослойку между Burp и API этого отличного агрегатора уязвимостей.
Работает все предельно просто. Настраиваем прокси-сервер, а затем ходим по сайту или тыкаем в веб-приложение. В это время плагин анализирует трафик, находит в нем маркеры установленного на удаленной машине софта и детектирует версии. Сюда входят веб-серверы (nginx, Apache, Tomcat и так далее), всевозможные CMS (WordPress, Drupal, Joomla и другие) и прочее. Затем обнаруженная информация отправляется в виде запросов к API vulners.com, а нам в красивом окошке выводится список доступных уязвимостей.
В настройках можно изменять существующие или добавлять новые правила для определения и поиска уязвимых приложений.
В целом Vulners Scanner - очень удобная штука. Пока я вручную изучаю цель, сканер на автомате ищет потенциальные уязвимости.
Спойлер: SQLiPy
SQLiPy помогает с автоматизацией SQL-инъекций. Данный плагин также работает с API - тем, что предоставляет популярная утилита SQLMap. Думаю, что каждый, кто когда-либо возился с SQLi, слышал про эту тулзу. Однако не все знают, что она может работать в режиме REST API. Для этого ее нужно запустить таким образом:
python sqlmapapi.py -s -H <ip-адрес> -p <порт>
Хочу обратить ваше внимание, что существует возможность запуска API прямо из интерфейса расширения. Но даже сами разработчики рекомендуют запускать его из командной строки.
Затем во вкладке SQLMap Scanner в настройках плагина нужно указать адрес нашего API. Теперь все, что от вас требуется, - это выбрать подопытный запрос, кликнуть правой кнопкой мыши внутри его тела и выбрать пункт SQLiPy Scan.
Снова откроется вкладка SQLMap Scanner, но уже с заполненными данными по запросу. Тут вы можете указать целую вязанку параметров, которые доступны в утилите SQLMap. После настройки нажимаем Start Scan. Если атака успешна, то ее детали будут видны в панели Issues.
Если же вас интересует более подробная информация о процессе сканирования, то ее можно отыскать на закладке SQLMap Logs. Выбирайте необходимый процесс и жмите кнопку Get.
Как вы уже наверное поняли, плагин поддерживает несколько процессов сканирования. Лично у меня на выделенном сервере тусуется такой вот API, и, не отрываясь от исследования приложения, я периодически отправляю на него подозрительные запросы через SQLiPy.
Спойлер: ActiveScan++
Об этом расширении, думаю, слышал каждый пользователь Burp Suite. Он написан одним из штатных разработчиков PortSwigger Джеймсом Кеттле (James Kettle), а первый коммит датирован 23 июня 2014 года. Но обновляется плагин и по сей день, что встречается нечасто.
ActiveScan++ расширяет стандартный перечень проверок, которые выполняются при работе активного и пассивного сканера. Он умеет находить такие уязвимости, как cache poisoning, DNS rebinding, различные инъекции в темплейты и экспрешены, а также делает дополнительные проверки для обнаружения XXE-инъекций и выявляет популярные баги типа shellshock, выполнение произвольного кода в Struts2 (CVE-2017-5638) и тому подобные.
Никаких настроек расширение не имеет, оно просто тихонько работает и отправляет сообщения о найденных проблемах в панель Issues.
Кстати, на всякий случай расскажу, что если вам нужно натравить активный сканер только на определенные места в запросе, то запрос нужно добавить в Intruder, расставить § в нужных позициях, и после чего нажать правой кнопкой мыши и выбрать Actively scan defined insertion points.
Спойлер: Backslash Powered Scanner
Еще один тихий плагин, созданный Джеймсом Кеттле. Нужен он, чтобы обнаруживать как известные, так и неизвестные типы уязвимостей. Манипулируя всевозможными параметрами из запроса, расширение пытается выявить нестандартное поведение сервера. Такие аномалии могут помочь при обнаружении как простых уязвимостей типа error-based SQL-инъекций, так и сложных XSS-инъекций с обходом встроенного WAF. Конечно же, расширение не дает полностью готовые решения, но может натолкнуть вас на правильный путь.
В отличие от плагина ActiveScan++ здесь есть некоторое количество настроек. Они расположены в пункте главного меню под названием Backslash, что нехарактерно.
Сканирование также идет в автоматическом режиме при работе активного сканера самого Burp. Если в процессе сканирования что-нибудь будет обнаружено, то результаты добавятся в панель Issues.
За дополнительной информацией о методике тестирования можно обратиться к посту в блоге PortSwigger.
Спойлер: SHELLING
Расширение SHELLING - это отличный инструмент для обнаружения уязвимостей типа RCE. Может использоваться как в автоматическом, так и в ручном режиме. Помимо простых тестов, пытается выполнить обход всевозможных фильтров пользовательских данных.
На момент написания статьи в магазине расширений Burp Suite была старая версия этого плагина. Поэтому скачивайте из репозитория актуальную и устанавливай ручками.
После успешной инсталляции появится новая вкладка под названием SHELLING. Она, в свою очередь, содержит еще пачку табов, в которых расположены многочисленные настройки расширения.
Настройки плагина SHELLING:
Здесь можно выбрать и тип атакуемой ОС, и пейлоад, который будет использоваться для получения отстука об успешно выполненной команде, переключение режима сканирования и многое-многое другое.
Также возможно выгрузить пейлоады в виде текстового файла и использовать их в Intruder или в любой другой утилите.
Описать все настройки в статье - дело проблематичное. Поэтому оставляю вам это на домашнее изучение, благо в официальном репозитории имеется исчерпывающий мануал по всем доступным функциям расширения.
Спойлер: AuthMatrix & Autorize
Два плагина, которые, по сути, делают одно и то же и различаются только возможностями детальной настройки и интерфейсом. Нужны они для того, чтобы проверять корректность логики распределения прав доступа в приложении. На сегодняшний день редко можно встретить какой-нибудь сервис, в котором не используется система различных ролей пользователей. Так вот, частенько бывает, что администраторские разделы доступны и обычным пользователям. Чтобы автоматизировать такие проверки, я использую эти два плагина.
AuthMatrix можно назвать старшим братом Autorize: у него чуть больше опций и немного более гибкая настройка тестирования. Обычно мне хватает AuthMatrix.
Логика работы следующая. Логинимся в систему, например от администратора. Снифаем трафик по ходу того, как бегаем по разным разделам, доступным выбранному юзеру. Потом на вкладке Target или Proxy выбираем необходимые запросы и отправляем их в плагин через соответствующий пункт в контекстном меню.
Отправляем запросы в плагин AuthMatrix. После этого переходим на вкладку с плагином, где видим наши запросы.
Теперь нужно добавить пользователей. Это можно сделать, если нажать на кнопку New User и ввести имя пользователя. Теперь в таблице Cookies нужно заполнить соответствующие данные для каждого из созданных пользователей. Куки, которые вы здесь укажете, будут добавлены к тем, что находятся в запросе.
В примере я планирую проверить доступность страниц установки и настройки безопасности от админа (пользователь root) и анонима (пользователь guest). Поэтому куки для Guest пусты.
После этого я создал название ролей и поставил галочки для соответствующих пользователей. Почему существует возможность добавлять и роли, и пользователей? Это нужно, чтобы проверять те ситуации, когда определенные функции доступны только конкретному пользователю. Например, два разных юзера в системе должны видеть только свои приватные сообщения.
Теперь надо отметить чекбоксы соответствия: какие пользователи или роли какие запросы могут выполнять. В моем случае оба запроса могут выполнять только админы, что я и указал. После этой настройки остается только нажать на кнопку Run и чуток подождать.
Результаты тестирования отображаются в таблице в виде цветовых индикаторов. Зеленый цвет означает, что поведение нормальное, ответ от сервера был проверен с помощью регулярного выражения, указанного в Response Regex, и он соответствует ожиданию. То есть в ответе для пользователя Root (роль админа) он попадает в regex, а в ответе для пользователя Guest (роль анонима) - нет.
Красный цвет сигнализирует о том, что в этом месте, возможно, существует уязвимость (то есть ответ в обоих случаях соответствует регулярному выражению).
Существует еще и синий цвет, его вы увидите в том случае, когда расширение предполагает, что результат может быть ложноположительным.
Помимо куки, плагин поддерживает кастомные заголовки. Это позволяет покрыть случаи, когда авторизация выполняется при помощи различных токенов, например Bearer. Данный столбец можно добавить при помощи кнопки New Header.
Кроме этого есть возможность задать сложные цепочки действий. Например, если необходимо получать для каждого запроса валидный токен CSRF. Для добавления звена такой цепочки есть кнопка New Chain. Подробнее об этом можно прочитать в официальном репозитории плагина.
Autorize добавляет ко всему этому еще несколько интересных опций. Например, в нем можно автоматически проверять все проходящие через прокси запросы.
Оба расширения могут сохранять текущее состояние и настройки в отдельный файл, а Autorize умеет генерировать отчеты с результатами тестирования.
Спойлер: Burp HTTP Mock
HTTPMock может эмулировать произвольные ответы от сервера. Это полезно для тестирования ошибок на стороне фронтенда. С повсеместным засильем SPA, REST API и мобильных приложений это просто штука мастхев.
Чтобы воспользоваться возможностями Mock, надо добавить в него ответ от сервера для эмуляции. Проделать можно это вручную или выбрать существующий ответ из отснифанного трафика (это делается из контекстного меню).
Теперь во вкладке HTTPMock в разделе Mock rules появится ваш ответ. Столбцы Host, Port и File отвечают за адрес, к которому будет эмулироваться ответ из Response editor. Здесь можно писать регулярные выражения, что добавляет гибкости.
Я взял попавшееся под руку приложение для заказа пиццы и перехватил пакет с запросом информации о текущем пользователе. Добавил ответ на него в HTTPMock и изменил параметр count_points, который отвечает за количество бонусных баллов.
Теперь запрос от приложения для получения инфы о юзере будет перехватываться расширением, а измененный ответ предоставлен приложению как легитимный. Результат такой манипуляции можно видеть на скрине ниже.
Разумеется, это лишь один сценарий использования. Таким же образом можно вводить в заблуждение любые клиенты и искать несостыковки в их логике работы.
Спойлер: BypassWAF
Расширение с громким названием BypassWAF, написанное Джошем Берри (Josh Berry), позволяет пользоваться рядом трюков, которые помогут в нелегкой борьбе с навязчивым файрволом. Если этот зверь не дает вам спокойно раскручивать очередную SQL-инъекцию или вовсе режет ваши безобидные запросы, то BypassWAF - ваш выбор.
Среди трюков имеются такие штуки, как подмена популярных заголовков X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr (бывает, что запросы с локальной машины проходят мимо пристального взора WAF), различные манипуляции с Content-Type (случается, что под фильтрацию не попадают какие-то MIME-типы), разнообразная обфускация отправляемых параметров и все в таком духе. Настройка всего этого безобразия производится в отдельном табе Bypass WAF.
После внесения изменений нужно нажать на кнопку Set Configuration.
Чтобы расширение начало обрабатывать запросы, вам нужно перенаправить исходящий трафик в него. Для этого на вкладке Sessions в настройках проекта добавьте новое правило для обработки трафика.
На закладке Scope можете указать, трафик каких утилит должен проходить через BypassWAF, и дополнительно настроить фильтрацию определенных URL.
Указываем утилиты, трафик которых должен дополнительно проходить через BypassWAF. Например, укажите, чтобы весь трафик из Repeater уходил сначала в BypassWAF, а затем на сервер.
Спойлер: Burp SSL Scanner
Этот плагин проверит на прочность защищенное соединение с сервером. Здесь довольно внушительный список проверок, которые позволяют определить типичные слабые места в протоколах SSL и TLS. Тут вам и POODLE, и устаревшие версии SSL, и BREACH, и старинный Heartbleed (да, он еще встречается). Полный список вы можете найти на страничке репозитория на GitHub. Почти все проверки были портированы с небезызвестного скрипта testssl.sh. Теперь не нужно отрываться от Burp, чтобы выполнить эти тесты. Надо отметить, что расширение не поддерживает протокол TLS версии 1.3.
У плагина есть свой мини-интерфейс на отдельной вкладке SSL Scanner. Использовать его довольно легко. Вбиваем требуемый хост в поле Target и жмем кнопку Start Scanning.
По дефолту проверяется 443-й порт, но ничто не мешает указать кастомный порт через двоеточие.
Вы также можете отправлять в плагин любой URL, если из контекстного меняю выберете пункт Send URL to SSL Scanner.
Из минусов - не хватает кнопки «Остановить сканирование», так как оно имеет тенденцию затягиваться, особенно когда сервер очень хорошо отвечает на запросы.
Спойлер: J2EEScan
Напоследок парочка расширений для любимой Java. Первый - это очередной плагин-старичок авторства Энрико Миланезе (Enrico Milanese). Обнаруживает и тестирует различные J2EE (Java 2 Enterprise Edition) приложения на наличие известных уязвимостей. В арсенале расширения имеются такие старые добрые дыры, как JBoss SEAM Remote Command Execution (CVE-2010-1871), Expression Language Injection (CVE-2011-2730) и относительно новые вроде Apache Struts: S2-032 (CVE-2016-3081). Учитывая то, насколько сильно сопротивляются обновлениям энтерпрайз-решения, плагин бывает довольно полезен и периодически выручает интересными находками.
Плагин не требует никаких настроек, дополнительной возни не просит. Устанавливаем его, и он тихонько отрабатывает во время активного сканирования.
Спойлер: Freddy the Serial(isation) Killer
И последний плагин, о котором хотел рассказать, - Freddy the Serial(isation) Killer.
В последнее время стали очень популярны всевозможные атаки на десереализацию и шаблонизаторы. Особенно отличились на этом поприще некоторые Java-проекты типа Spring, WebLogic, Apache Commons. Это расширение как раз и помогает обнаружить проблемы десериализации и демаршалинга в разных библиотеках и API.
Здесь реализована поддержка разных форматов пейлоада, в том числе YAML и AMF. За основу была взята утилита marshalsec. Полный список поддерживаемых целей вы можете посмотреть на странице репозитория. Хочу также отметить, что, помимо Java, плагин умеет атаковать десериализаторы .NET, такие как FastJson, JavascriptSerializer, XmlSerializer.
Работает Фредди во время автоматического сканирования. Никак дополнительно настраивать его не надо, а все найденные уязвимости можно посмотреть в панели Issues.
View hidden content is available for registered users!