Burp Suite Tutorial

Arved Riermeier
Burp Suite Tutorial
Die Burp Suite ist eine Auswahl an Geräten, die zur Durchführung von Stifttests und Sicherheitsprüfungen verwendet werden. Dieses Tutorial konzentriert sich hauptsächlich auf die kostenlose Version. Die BURP Suite kann als Unterbrecher -Proxy fungieren und erfasst auch den Datenverkehr zwischen einem Internetbrowser und einem Webserver. Weitere Merkmale der Burp Suite sind ein Scanner, ein anwendungsbewusstes Spinnen, ein Eindringling, ein Repeater, einen Sequenzer, einen Vergleich, den Extender und Decoder.

Merkmale

Unten finden Sie eine Beschreibung der Merkmale der Burp Suite:

  • Scanner: Scans nach Schwachstellen.
  • Anwendungsbewusstes Spinnen: Verwendet, um ein bestimmtes Ausmaß der Seiten zu beschleunigen.
  • Eindringling: Wird verwendet, um Angriffe und rohe Kräfte auf den Seiten auf anpassungsfähige Weise durchzuführen.
  • Verstärker: Wird verwendet, um alle Anfragen zu kontrollieren und umzuleiten.
  • Sequenzer: Wird verwendet, um Sitzungstoken zu testen.
  • Extender: Ermöglicht es Ihnen, Ihre Plugins Handy zu komponieren, um benutzerdefinierte Funktionen zu erhalten
  • Vergleich und Decoder: Beide werden zu Miscenzwecken verwendet.

Burpspinne

Die Burp Suite hat auch einen Fehler, der als Burp Spider bekannt ist. Die Burp Spider ist ein Programm, das über alle im Zielfernrohr angegebenen Zielseiten kriecht. Vor Beginn eines Burp -Fehlers muss die Burp Suite angeordnet werden, um den HTTP -Verkehr zu erfassen.

Was ist Webanwendungseingangstests?

Die Test -Tests für Webanwendungen führen einen digitalen Angriff durch, um Daten zu Ihrem Framework zusammenzustellen, Schwächen zu ermitteln und festzustellen, wie diese Mängel letztendlich Ihre Anwendung oder Ihr System gefährden können.

Schnittstelle

Wie andere Tools enthält die Burp Suite Zeilen, Menübalken und verschiedene Panelsets.

Die folgende Tabelle zeigt Ihnen die verschiedenen Optionen, die unten beschrieben werden.

  1. Registerkarte "Tool & Options Selector": Wählen Sie die Tools und Einstellungen aus.
  2. Sitemap -Ansicht: Zeigt die Sitemap an.
  3. Anfragen Warteschlangen: Sendungen, wann Anfragen gestellt werden.
  4. Anforderungs-/Antwortdetails: Zeigt Anfragen und Antworten vom Server an.

Das Spidering einer Website ist eine bedeutende Funktion bei der Durchführung von Websicherheitstests. Dies hilft, den Grad der Web-Anwendung zu identifizieren. Wie oben erwähnt, hat die Burp Suite eine eigene Spinne namens Burp Spider, die auf eine Website eintauchen kann. Es enthält hauptsächlich vier Schritte.

Schritte

Schritt 1: Richten Sie einen Proxy ein

Starten Sie zunächst die Burp Suite und überprüfen Sie die Optionen unter dem Optionen Sub-Tab.

IP erkennen ist Lokalhost IP und der Port ist 8080.

Erkennen Sie auch, um sicherzustellen, dass der Abfang aktiviert ist. Firefox öffnen und zur Optionen Tab. Klicken Vorlieben, Dann Netzwerk, Dann Verbindungseinstellungen, und danach wählen Sie die Manuelle Proxy -Konfiguration Auswahl.

Um Proxy zu installieren, können Sie den Proxy -Selektor aus dem installieren Add-Ons Seite und klicken Vorlieben.

Gehe zu Proxys verwalten und ein weiterer Vermittler einschließen, das die anwendbaren Daten abrundet.

Klick auf das Proxy -Selektor Die Schaltfläche oben rechts und wählen Sie den Stellvertreter aus, den Sie gerade gemacht haben.

Schritt 2: Inhalte bekommen

Nachdem Sie den Proxy eingerichtet haben, gehen Sie zum Ziel, indem Sie die URL in der Standortleiste eingeben. Sie können sehen, dass die Seite nicht geladen wird. Dies geschieht, weil die Burp Suite den Verein erfasst.

In der Burp Suite können Sie Anforderungsoptionen anzeigen. Klicken Sie vorwärts, um den Verein voranzutreiben. Zu diesem Zeitpunkt können Sie sehen, dass die Seite im Programm gestapelt ist.

Wenn Sie zur Burp Suite zurückkehren, können Sie feststellen, dass alle Bereiche besiedelt sind.

Schritt 3: Auswahl und Startspinne

Hier das Ziel Mutillidae ist gewählt. Klicken Sie mit der rechten Maustaste auf die Mutillidae Ziel aus der Sitemap und wählen Sie die aus Spinne von hier Möglichkeit.

Wenn die Spinne beginnt, erhalten Sie ein kurzes Detail, wie in der dazugehörigen Figur gezeigt. Dies ist eine Anmeldestruktur. Die Spinne kann basierend auf den bereitgestellten Informationen kriechen. Sie können diesen Vorgang überspringen, indem Sie auf die Schaltfläche "Formular ignorieren" klicken.

Schritt 4: Details manipulieren

Wenn der Fehler läuft, der Baum innerhalb der Mutillidae Der Zweig wird besiedelt. Ebenso werden die erhobenen Anfragen in der Zeile angezeigt, und die Details sind in der aufgeführt Anfrage Tab.

Gehen Sie weiter zu verschiedenen Registerkarten und sehen Sie sich alle grundlegenden Daten an.

Überprüfen Sie schließlich, ob die Spinne durchgeführt wird, indem Sie die Registerkarte Spinnen überprüfen.

Dies sind die wichtigsten und Anfangsphasen eines Websicherheitstests mit der Burp Suite. Spidering ist ein bedeutender Teil der Aufklärung während des Tests und durch Ausführung können Sie das Engineering der objektiven Site besser verstehen. In bevorstehenden Unterrichtsübungen werden wir dies auf verschiedene Werkzeuge in der Reihe von Geräten in der Burp Suite ausstrecken.

Abschluss

Die BURP Suite kann als grundlegender HTTP -Vermittler verwendet werden, um den Datenverkehr für Untersuchungen und Wiedergabe, ein Sicherheitsscanner für Webanwendungen, ein Instrument zur Durchführung mechanisierter Übergriffe gegen eine Webanwendung, ein Gerät zur Überprüfung einer ganzen Website zur Erkennung von Körperoberflächen und einer Modul-API mit vielen zugänglichen Außenseiter-Add-Ons. Ich hoffe, dieser Artikel hat Ihnen geholfen, mehr über dieses erstaunliche Stifttest-Tool zu erfahren.

C -Programmierung
C Benutzerdefinierte Funktionen gegen Bibliotheksfunktionen
Die benutzerdefinierten Funktionen in C werden von Entwicklern und Bibliotheksfunktionen integriert....
Ansgar Radtke
Bash -Programmierung
So reparieren Sie - Bash Pip -Befehl nicht gefunden
Der...
Christopher Lammert
Windows OS
So deaktivieren Sie IPv6 unter Windows
Das „IPv6“ kann mit verschiedenen Methoden deaktiviert werden. Diese Methoden umfassen das Deaktivie...
Jean Dengler
Golang
Was sind Strukturen in Golang?
Hussein Burkhard
AWS
Was ist AWS GuardDuty und warum es verwendet wird??
Jessica Schimmer
Java
So verwenden Sie Java One -Zeile, wenn Anweisung?
Gian Eisenlauer
Docker
Wie kann ich Docker über Ubuntu Terminal installieren??
Stephan Harms
Php
Wie man Pause benutzt und in PHP fortgesetzt wird?
Mohamed Flore
Golang
Was sind Konstanten in Golang?
Jean Dengler
Power Shell
So verwenden Sie die Variablen in PowerShell
Gian Eisenlauer
Power Shell
So verwenden Sie den Befehl „Get-Command“ in PowerShell
Christopher Lammert
Linux -Befehle
Iperf3 Befehle
Ansgar Radtke
Debian
So ändern Sie den Benutzernamen bei Debian Top 10 Bullseye
Kaya Wyludda