Lastnosti
Spodaj je opis lastnosti funkcije Burp Suite:
- Optični bralnik: Skenira za ranljivosti.
- Pajek, ki se zaveda aplikacije: Uporablja se za drsenje določenega obsega strani.
- Vsiljivec: Uporablja se za napade in surove sile na straneh na prilagodljiv način.
- Ponavljalec: Uporablja se za nadzor in preusmeritev vseh zahtev.
- Sekvencer: Uporablja se za testiranje žetonov seje.
- Extender: Omogoča vam ročno sestavljanje vtičnikov, da dobite funkcionalnost po meri
- Primerjalnik in dekodirnik: Obe se uporabljata za različne namene.
Burp Spider
V paketu Burp Suite je tudi napaka, znana kot Burp Spider. Burp Spider je program, ki plazi po vseh ciljnih straneh, navedenih v obsegu. Pred začetkom napake Burp mora biti Burp Suite urejen tako, da zajema promet HTTP.
Kaj je testiranje vstopa v spletne aplikacije?
Vstopno testiranje spletnih aplikacij izvede digitalni napad, da zbere podatke o vašem ogrodju, odkrije slabosti v njem in ugotovi, kako bi te pomanjkljivosti sčasoma lahko ogrozile vašo aplikacijo ali sistem.
Vmesnik
Tako kot druga orodja tudi Burp Suite vsebuje vrstice, menijske vrstice in različne sklope plošč.
Spodnja tabela prikazuje različne možnosti, ki so opisane spodaj.
- Zavihki za izbiro orodij in možnosti: izberite orodja in nastavitve.
- Pogled zemljevida: prikaže zemljevid mesta.
- Čakalna vrsta zahtev: Prikaže, kdaj so podane zahteve.
- Podrobnosti o zahtevi / odgovoru: prikaže zahteve in odgovore strežnika.
Spidering spletnega mesta je pomembna funkcija izvajanja spletnih varnostnih testov. To pomaga prepoznati stopnjo spletne aplikacije. Kot smo že omenili, ima Burp Suite svojega pajka, imenovanega Burp Spider, ki lahko zdrsne na spletno stran. Vključuje predvsem štiri korake.
Koraki
1. korak: nastavite proxy
Najprej zaženite Burp Suite in preverite možnosti pod Opcije podkartici.
Zaznaj IP je lokalni gostitelj IP in vrata so 8080.
Zaznajte tudi, da zagotovite, da je prestrezanje vklopljeno. Odprite Firefox in pojdite na Opcije zavihek. Kliknite Preference, potem Omrežje, potem Nastavitve povezave, in nato izberite Ročna konfiguracija strežnika proxy izbiro.
Če želite namestiti proxy, lahko izbirnik proxy namestite iz Dodatki strani in kliknite Preference.
Pojdi do Upravljanje pooblaščencev in vključite drugega posrednika, ki zaokroži ustrezne podatke.
Kliknite na Izbirnik proxy v zgornjem desnem kotu in izberite strežnik proxy, ki ste ga pravkar ustvarili.
2. korak: Pridobivanje vsebine
Ko nastavite proxy, pojdite na cilj tako, da v lokacijsko vrstico vnesete URL. Vidite, da se stran ne bo naložila. To se zgodi, ker Burp Suite zajema povezavo.
V Burp Suite si lahko ogledate možnosti zahtev. Kliknite naprej za povezovanje. Na tej točki lahko vidite, da se je stran v programu zložila.
Če se vrnemo v Burp Suite, lahko vidite, da so vsa območja poseljena.
3. korak: Izbira in zagon pajka
Tukaj je cilj mutillidae je izbrana. Z desno miškino tipko kliknite mutillidae na zemljevidu spletnega mesta in izberite Pajek od tu možnost.
Ko se Spider začne, boste dobili kratko podrobnost, kot je prikazano na priloženi sliki. To je prijavna struktura. Spider bo lahko plazil na podlagi posredovanih informacij. Ta postopek lahko preskočite s klikom na gumb »Prezri obrazec«.
4. korak: Manipuliranje s podrobnostmi
Ko se napaka zažene, drevo znotraj mutillidae podružnica se naseli. Prav tako se v vrstici pojavijo podane zahteve, podrobnosti pa so navedene v Prošnja zavihek.
Nadaljujte do različnih zavihkov in si oglejte vse osnovne podatke.
Na koncu preverite, ali je Spider končan s pregledom zavihka Spider.
To so bistvene in začetne faze preizkusa spletne varnosti z uporabo programske opreme Burp Suite. Spidering je pomemben del ponovitve med preizkusom in z izvajanjem tega lahko bolje razumete konstrukcijo ciljanega mesta. V naslednjih vajah bomo to razširili na različna orodja v naboru naprav v zbirki Burp.
Zaključek
Paket Burp se lahko uporablja kot osnovni http posrednik za blokiranje prometa za preiskave in predvajanje, varnostni skener spletne aplikacije, instrument za izvajanje mehaniziranih napadov na spletno aplikacijo, naprava za pregled celotnega spletnega mesta za prepoznavanje napadne površine in modul API s številnimi dostopnimi zunanjimi dodatki. Upam, da vam je ta članek pomagal izvedeti več o tem neverjetnem orodju za testiranje pisala.