Tutorial della suite Burp

Nick Marini
Tutorial della suite Burp
La suite Burp è un assortimento di dispositivi utilizzati per eseguire ispezioni di test e sicurezza. Questo tutorial si concentra principalmente sulla versione gratuita. La suite Burp può fungere da proxy interrompente e cattura anche il traffico tra un browser Internet e un server Web. Altre caratteristiche della suite Burp includono uno scanner, ragno consapevole dell'applicazione, intruso, ripetitore, sequencer, confronto, estensione e decodificatore.

Caratteristiche

Di seguito è riportata una descrizione delle caratteristiche della suite Burp:

  • Scanner: Scansioni per le vulnerabilità.
  • Ragno consapevole dell'applicazione: Utilizzato per strisciare una determinata estensione delle pagine.
  • Intruso: Utilizzato per eseguire assalti e forze brute sulle pagine in modo adattabile.
  • Ripetitore: Usato per controllare e deviare tutte le richieste.
  • Sequencer: Usato per testare i token di sessione.
  • Extender: Ti consente di comporre facilmente i plugin per ottenere funzionalità personalizzate
  • Comparatore e decodificatore: Entrambi sono utilizzati per scopi misc.

Burp Spider

La suite Burp ha anche un bug noto come Burp Spider. Il ragno Burp è un programma che striscia su tutte le pagine oggettive indicate nell'ambito. Prima di iniziare un bug Burp, la suite Burp deve essere organizzata per catturare il traffico HTTP.

Cos'è il test di ingresso dell'applicazione Web?

Il test di ingresso dell'applicazione Web esegue un assalto digitale per assemblare i dati sul framework, scoprire punti deboli in esso e scoprire come tali carenze potrebbero eventualmente compromettere l'applicazione o il sistema.

Interfaccia

Come altri strumenti, la suite Burp contiene righe, barre dei menu e vari set di pannelli.

La tabella seguente mostra le varie opzioni descritte di seguito.

  1. Schede Selettore di strumenti e opzioni: selezionare gli strumenti e le impostazioni.
  2. Sitemap View: mostra la sitemap.
  3. Coda delle richieste: mostra quando vengono effettuate richieste.
  4. Dettagli di richiesta/risposta: mostra richieste e risposte dal server.

Spider Un sito Web è una funzione significativa per l'esecuzione di test di sicurezza web. Questo aiuta a identificare il grado di applicazione web. Come accennato in precedenza, la suite Burp ha il suo ragno, chiamato Burp Spider, che può scivolare in un sito Web. Include principalmente quattro passaggi.

Passi

Passaggio 1: impostare un proxy

Innanzitutto, avvia la suite Burp e controlla le opzioni sotto il Opzioni sub-tab.

Rilevare IP è Localhost IP e la porta è 8080.

Inoltre, rileva per garantire che l'intercetta sia attiva. Apri Firefox e vai al Opzioni scheda. Clic Preferenze, Poi Rete, Poi Impostazioni di connessione, E dopo ciò, scegli il Configurazione proxy manuale selezione.

Per installare Proxy, è possibile installare il selettore proxy dal Componenti aggiuntivi pagina e clic Preferenze.

Vai a Gestisci proxy e includere un altro intermediario, completando i dati applicabili.

Clicca sul Selettore proxy pulsante in alto a destra e seleziona il proxy che hai appena realizzato.

Passaggio 2: ottenere contenuti

Dopo aver impostato il proxy, vai all'obiettivo inserendo l'URL nella barra di posizione. Puoi vedere che la pagina non si caricherà. Ciò si verifica perché la suite Burp sta catturando l'associazione.

Nella suite Burp, puoi vedere le opzioni di richiesta. Fare clic in avanti per far avanzare l'associazione. A questo punto, puoi vedere che la pagina si è accumulata nel programma.

Tornando alla suite Burp, puoi vedere che tutte le aree sono popolate.

Passaggio 3: selezione e avvio del ragno

Qui, l'obiettivo mutillidae è scelto. Fare clic con il tasto destro del mouse sul mutillidae obiettivo dal sito e selezionare il Spider da qui opzione.

Quando inizia il ragno, otterrai un breve dettaglio, come mostrato nella figura di accompagnamento. Questa è una struttura di accesso. Il ragno sarà in grado di strisciare in base alle informazioni fornite. Puoi saltare questo processo facendo clic sul pulsante "Ignora Modulo".

Passaggio 4: Manipolando i dettagli

Mentre il bug funziona, l'albero all'interno del mutillidae Il ramo viene popolato. Allo stesso modo, le richieste fatte vengono visualizzate nella riga e i dettagli sono elencati in Richiesta scheda.

Procedi a varie schede e consulta tutti i dati di base.

Infine, controlla se il ragno viene eseguito rivedendo la scheda Spider.

Questi sono gli elementi essenziali e le fasi iniziali di un test di sicurezza web utilizzando la suite Burp. Il ragno è un pezzo significativo della ricognizione durante il test e eseguendo questo, è possibile comprendere meglio l'ingegneria del sito oggettivo. Nei prossimi esercizi didattici, lo allungheremo a diversi strumenti nel set di dispositivi nella suite Burp.

Conclusione

La suite Burp può essere utilizzata come intermediario HTTP fondamentale per bloccare il traffico per le indagini e la riproduzione, uno scanner di sicurezza delle applicazioni Web, uno strumento per eseguire assalti meccanizzati contro un'applicazione Web, un dispositivo per ispezionare un intero sito per riconoscere la superficie di assalto e un API del modulo con molti componenti aggiuntivi accessibili. Spero che questo articolo ti abbia aiutato a saperne di più su questo fantastico strumento di test di penna.

Oracle Linux
Quali sono le differenze tra Oracle Linux e Ubuntu Linux?
Oracle Linux è progettato per applicazioni aziendali, mentre Ubuntu Linux è progettato per uso perso...
Domiziano Conte
Programmazione C
Come trovare il valore ASCII di un carattere nella programmazione C?
Nella programmazione C, il valore ASCII di un carattere può essere trovato usando le funzioni scanf ...
Artemide Ricci
Sqlite
Cosa sono sqlite e sqlite3? Sono gli stessi?
SQLite è una libreria di database e SQLite3 è l'interfaccia della riga di comando che è necessaria p...
Nick Marini
Pitone
Rimuovi i caratteri speciali da String Python
Nunzia Martini
Pitone
Elenco Python su stringa separata da virgola
Cristyn De Santis
Pitone
Python Math Exp
Dr. Ursula Marini
Pitone
Seaborn Tsplot
Sarita Negri
c affilato
Cos'è il sistema.Io Namespace in C#
Sig. Valdo Marchetti
OS Windows
Come attivare il desktop remoto su PC
Cristyn De Santis
Giava
Come usare la parola chiave byte in java
Dr. Ursula Marini
Golang
Come usare il tempo.Ora funziona in golang - esempi
Nick Marini
PHP
Cos'è un errore di indice indefinito in PHP e come risolverlo?
Osea Martini
Docker
Quali sono i passaggi per distribuire un'immagine Nginx usando Docker?
Sig. Valdo Marchetti