Burp Suite Tutorial

Arved Riermeier
Burp Suite Tutorial
Die Burp Suite ist eine Auswahl an Geräten, die zur Durchführung von Stifttests und Sicherheitsprüfungen verwendet werden. Dieses Tutorial konzentriert sich hauptsächlich auf die kostenlose Version. Die BURP Suite kann als Unterbrecher -Proxy fungieren und erfasst auch den Datenverkehr zwischen einem Internetbrowser und einem Webserver. Weitere Merkmale der Burp Suite sind ein Scanner, ein anwendungsbewusstes Spinnen, ein Eindringling, ein Repeater, einen Sequenzer, einen Vergleich, den Extender und Decoder.

Merkmale

Unten finden Sie eine Beschreibung der Merkmale der Burp Suite:

  • Scanner: Scans nach Schwachstellen.
  • Anwendungsbewusstes Spinnen: Verwendet, um ein bestimmtes Ausmaß der Seiten zu beschleunigen.
  • Eindringling: Wird verwendet, um Angriffe und rohe Kräfte auf den Seiten auf anpassungsfähige Weise durchzuführen.
  • Verstärker: Wird verwendet, um alle Anfragen zu kontrollieren und umzuleiten.
  • Sequenzer: Wird verwendet, um Sitzungstoken zu testen.
  • Extender: Ermöglicht es Ihnen, Ihre Plugins Handy zu komponieren, um benutzerdefinierte Funktionen zu erhalten
  • Vergleich und Decoder: Beide werden zu Miscenzwecken verwendet.

Burpspinne

Die Burp Suite hat auch einen Fehler, der als Burp Spider bekannt ist. Die Burp Spider ist ein Programm, das über alle im Zielfernrohr angegebenen Zielseiten kriecht. Vor Beginn eines Burp -Fehlers muss die Burp Suite angeordnet werden, um den HTTP -Verkehr zu erfassen.

Was ist Webanwendungseingangstests?

Die Test -Tests für Webanwendungen führen einen digitalen Angriff durch, um Daten zu Ihrem Framework zusammenzustellen, Schwächen zu ermitteln und festzustellen, wie diese Mängel letztendlich Ihre Anwendung oder Ihr System gefährden können.

Schnittstelle

Wie andere Tools enthält die Burp Suite Zeilen, Menübalken und verschiedene Panelsets.

Die folgende Tabelle zeigt Ihnen die verschiedenen Optionen, die unten beschrieben werden.

  1. Registerkarte "Tool & Options Selector": Wählen Sie die Tools und Einstellungen aus.
  2. Sitemap -Ansicht: Zeigt die Sitemap an.
  3. Anfragen Warteschlangen: Sendungen, wann Anfragen gestellt werden.
  4. Anforderungs-/Antwortdetails: Zeigt Anfragen und Antworten vom Server an.

Das Spidering einer Website ist eine bedeutende Funktion bei der Durchführung von Websicherheitstests. Dies hilft, den Grad der Web-Anwendung zu identifizieren. Wie oben erwähnt, hat die Burp Suite eine eigene Spinne namens Burp Spider, die auf eine Website eintauchen kann. Es enthält hauptsächlich vier Schritte.

Schritte

Schritt 1: Richten Sie einen Proxy ein

Starten Sie zunächst die Burp Suite und überprüfen Sie die Optionen unter dem Optionen Sub-Tab.

IP erkennen ist Lokalhost IP und der Port ist 8080.

Erkennen Sie auch, um sicherzustellen, dass der Abfang aktiviert ist. Firefox öffnen und zur Optionen Tab. Klicken Vorlieben, Dann Netzwerk, Dann Verbindungseinstellungen, und danach wählen Sie die Manuelle Proxy -Konfiguration Auswahl.

Um Proxy zu installieren, können Sie den Proxy -Selektor aus dem installieren Add-Ons Seite und klicken Vorlieben.

Gehe zu Proxys verwalten und ein weiterer Vermittler einschließen, das die anwendbaren Daten abrundet.

Klick auf das Proxy -Selektor Die Schaltfläche oben rechts und wählen Sie den Stellvertreter aus, den Sie gerade gemacht haben.

Schritt 2: Inhalte bekommen

Nachdem Sie den Proxy eingerichtet haben, gehen Sie zum Ziel, indem Sie die URL in der Standortleiste eingeben. Sie können sehen, dass die Seite nicht geladen wird. Dies geschieht, weil die Burp Suite den Verein erfasst.

In der Burp Suite können Sie Anforderungsoptionen anzeigen. Klicken Sie vorwärts, um den Verein voranzutreiben. Zu diesem Zeitpunkt können Sie sehen, dass die Seite im Programm gestapelt ist.

Wenn Sie zur Burp Suite zurückkehren, können Sie feststellen, dass alle Bereiche besiedelt sind.

Schritt 3: Auswahl und Startspinne

Hier das Ziel Mutillidae ist gewählt. Klicken Sie mit der rechten Maustaste auf die Mutillidae Ziel aus der Sitemap und wählen Sie die aus Spinne von hier Möglichkeit.

Wenn die Spinne beginnt, erhalten Sie ein kurzes Detail, wie in der dazugehörigen Figur gezeigt. Dies ist eine Anmeldestruktur. Die Spinne kann basierend auf den bereitgestellten Informationen kriechen. Sie können diesen Vorgang überspringen, indem Sie auf die Schaltfläche "Formular ignorieren" klicken.

Schritt 4: Details manipulieren

Wenn der Fehler läuft, der Baum innerhalb der Mutillidae Der Zweig wird besiedelt. Ebenso werden die erhobenen Anfragen in der Zeile angezeigt, und die Details sind in der aufgeführt Anfrage Tab.

Gehen Sie weiter zu verschiedenen Registerkarten und sehen Sie sich alle grundlegenden Daten an.

Überprüfen Sie schließlich, ob die Spinne durchgeführt wird, indem Sie die Registerkarte Spinnen überprüfen.

Dies sind die wichtigsten und Anfangsphasen eines Websicherheitstests mit der Burp Suite. Spidering ist ein bedeutender Teil der Aufklärung während des Tests und durch Ausführung können Sie das Engineering der objektiven Site besser verstehen. In bevorstehenden Unterrichtsübungen werden wir dies auf verschiedene Werkzeuge in der Reihe von Geräten in der Burp Suite ausstrecken.

Abschluss

Die BURP Suite kann als grundlegender HTTP -Vermittler verwendet werden, um den Datenverkehr für Untersuchungen und Wiedergabe, ein Sicherheitsscanner für Webanwendungen, ein Instrument zur Durchführung mechanisierter Übergriffe gegen eine Webanwendung, ein Gerät zur Überprüfung einer ganzen Website zur Erkennung von Körperoberflächen und einer Modul-API mit vielen zugänglichen Außenseiter-Add-Ons. Ich hoffe, dieser Artikel hat Ihnen geholfen, mehr über dieses erstaunliche Stifttest-Tool zu erfahren.

Sqlite
Was sind SQLite und SQLite3? Sind sie gleich?
SQLite ist eine Datenbankbibliothek und SQLite3 ist die Befehlszeilenschnittstelle....
Fr. Chris Frisch
Golang
Was sind Pakete in Golang??
Ein Paket ist eine Technik, um Code in wiederverwendbaren und überschaubaren Stücken zu gruppieren. ...
Kaya Wyludda
c scharf
So verwenden Sie Wurf Keyword in C#
Das Wurf -Schlüsselwort ist wie eine Sprungerklärung in C#, die eine Ausnahme ausschöpfen kann. Ausn...
Jean Dengler
Oracle Linux
So installieren und verwenden Sie das Oracle VirtualBox -Erweiterungspaket?
Ansgar Radtke
Python
Numpy Save Dict
Lars Daub
Python
Python Math Exp
Christopher Lammert
Python
Python Count Charaktere in String
Jessica Schimmer
AWS
Welche AWS -Tools und DevOps benötigen, um eine Web -App zu entwickeln?
Lars Daub
AWS
Was ist AWS -Steuerturm und wie man ihn benutzt??
Gian Eisenlauer
JavaScript
Wie Typenkript von JavaScript unterscheidet?
Gian Eisenlauer
Power Shell
So verwenden Sie Get-Adprincipalgroupmitglieder in Powershell
Ahmed Stöckert
Power Shell
So verwenden Sie den Befehl SET-Variable in PowerShell
Lars Daub
C -Programmierung
So finden Sie den ASCII -Wert eines Charakters in der C -Programmierung?
Prof. Dr. Julien Plank