Tutorial della suite Burp

Nick Marini
Tutorial della suite Burp
La suite Burp è un assortimento di dispositivi utilizzati per eseguire ispezioni di test e sicurezza. Questo tutorial si concentra principalmente sulla versione gratuita. La suite Burp può fungere da proxy interrompente e cattura anche il traffico tra un browser Internet e un server Web. Altre caratteristiche della suite Burp includono uno scanner, ragno consapevole dell'applicazione, intruso, ripetitore, sequencer, confronto, estensione e decodificatore.

Caratteristiche

Di seguito è riportata una descrizione delle caratteristiche della suite Burp:

  • Scanner: Scansioni per le vulnerabilità.
  • Ragno consapevole dell'applicazione: Utilizzato per strisciare una determinata estensione delle pagine.
  • Intruso: Utilizzato per eseguire assalti e forze brute sulle pagine in modo adattabile.
  • Ripetitore: Usato per controllare e deviare tutte le richieste.
  • Sequencer: Usato per testare i token di sessione.
  • Extender: Ti consente di comporre facilmente i plugin per ottenere funzionalità personalizzate
  • Comparatore e decodificatore: Entrambi sono utilizzati per scopi misc.

Burp Spider

La suite Burp ha anche un bug noto come Burp Spider. Il ragno Burp è un programma che striscia su tutte le pagine oggettive indicate nell'ambito. Prima di iniziare un bug Burp, la suite Burp deve essere organizzata per catturare il traffico HTTP.

Cos'è il test di ingresso dell'applicazione Web?

Il test di ingresso dell'applicazione Web esegue un assalto digitale per assemblare i dati sul framework, scoprire punti deboli in esso e scoprire come tali carenze potrebbero eventualmente compromettere l'applicazione o il sistema.

Interfaccia

Come altri strumenti, la suite Burp contiene righe, barre dei menu e vari set di pannelli.

La tabella seguente mostra le varie opzioni descritte di seguito.

  1. Schede Selettore di strumenti e opzioni: selezionare gli strumenti e le impostazioni.
  2. Sitemap View: mostra la sitemap.
  3. Coda delle richieste: mostra quando vengono effettuate richieste.
  4. Dettagli di richiesta/risposta: mostra richieste e risposte dal server.

Spider Un sito Web è una funzione significativa per l'esecuzione di test di sicurezza web. Questo aiuta a identificare il grado di applicazione web. Come accennato in precedenza, la suite Burp ha il suo ragno, chiamato Burp Spider, che può scivolare in un sito Web. Include principalmente quattro passaggi.

Passi

Passaggio 1: impostare un proxy

Innanzitutto, avvia la suite Burp e controlla le opzioni sotto il Opzioni sub-tab.

Rilevare IP è Localhost IP e la porta è 8080.

Inoltre, rileva per garantire che l'intercetta sia attiva. Apri Firefox e vai al Opzioni scheda. Clic Preferenze, Poi Rete, Poi Impostazioni di connessione, E dopo ciò, scegli il Configurazione proxy manuale selezione.

Per installare Proxy, è possibile installare il selettore proxy dal Componenti aggiuntivi pagina e clic Preferenze.

Vai a Gestisci proxy e includere un altro intermediario, completando i dati applicabili.

Clicca sul Selettore proxy pulsante in alto a destra e seleziona il proxy che hai appena realizzato.

Passaggio 2: ottenere contenuti

Dopo aver impostato il proxy, vai all'obiettivo inserendo l'URL nella barra di posizione. Puoi vedere che la pagina non si caricherà. Ciò si verifica perché la suite Burp sta catturando l'associazione.

Nella suite Burp, puoi vedere le opzioni di richiesta. Fare clic in avanti per far avanzare l'associazione. A questo punto, puoi vedere che la pagina si è accumulata nel programma.

Tornando alla suite Burp, puoi vedere che tutte le aree sono popolate.

Passaggio 3: selezione e avvio del ragno

Qui, l'obiettivo mutillidae è scelto. Fare clic con il tasto destro del mouse sul mutillidae obiettivo dal sito e selezionare il Spider da qui opzione.

Quando inizia il ragno, otterrai un breve dettaglio, come mostrato nella figura di accompagnamento. Questa è una struttura di accesso. Il ragno sarà in grado di strisciare in base alle informazioni fornite. Puoi saltare questo processo facendo clic sul pulsante "Ignora Modulo".

Passaggio 4: Manipolando i dettagli

Mentre il bug funziona, l'albero all'interno del mutillidae Il ramo viene popolato. Allo stesso modo, le richieste fatte vengono visualizzate nella riga e i dettagli sono elencati in Richiesta scheda.

Procedi a varie schede e consulta tutti i dati di base.

Infine, controlla se il ragno viene eseguito rivedendo la scheda Spider.

Questi sono gli elementi essenziali e le fasi iniziali di un test di sicurezza web utilizzando la suite Burp. Il ragno è un pezzo significativo della ricognizione durante il test e eseguendo questo, è possibile comprendere meglio l'ingegneria del sito oggettivo. Nei prossimi esercizi didattici, lo allungheremo a diversi strumenti nel set di dispositivi nella suite Burp.

Conclusione

La suite Burp può essere utilizzata come intermediario HTTP fondamentale per bloccare il traffico per le indagini e la riproduzione, uno scanner di sicurezza delle applicazioni Web, uno strumento per eseguire assalti meccanizzati contro un'applicazione Web, un dispositivo per ispezionare un intero sito per riconoscere la superficie di assalto e un API del modulo con molti componenti aggiuntivi accessibili. Spero che questo articolo ti abbia aiutato a saperne di più su questo fantastico strumento di test di penna.

Powershell
Come usare Get-AddrincipalGroupMembership in PowerShell
Il cmdlet get-adprincipalgroupMembership viene utilizzato per ottenere i gruppi di Active Directory ...
Nunzia Martini
Powershell
Quali sono i passaggi per avviare Windows PowerShell
Per lanciare PowerShell, in primo luogo, vai al menu di avvio e digita PowerShell nella casella di r...
Cristyn De Santis
c affilato
Rompi e continua le dichiarazioni in C#
La dichiarazione di pausa può uscire in anticipo a un ciclo, mentre continua può saltare alcune iter...
Osea Martini
Postgresql
Come copiare una tabella da un database a un altro in PostgreSQL
Dante Palumbo
Pitone
PANDAS Read_CSV Multiprocessing
Nick Marini
OS Windows
Qual è la differenza tra Windows Top 10 Home e Pro
Cristyn De Santis
c affilato
Cos'è il sistema.Io Namespace in C#
Sig. Valdo Marchetti
Golang
Come convertire la stringa in tipo intero in Golang?
Felicia Giuliani
JavaScript
Come utilizzare il metodo getElementsByTagName in JavaScript
Domiziano Conte
Oracle Database
Come connettersi al database Oracle Top 10c utilizzando SQL Developer?
Cristyn De Santis
Oracle Database
Qual è lo scopo di Oracle Cerner?
Dr. Ursula Marini
Oracle Linux
Quali sono le differenze tra Oracle Linux e Ubuntu Linux?
Domiziano Conte
Powershell
Come usare il comando get-service in PowerShell
Nestore Caruso