Како користити алатку за уљезе Бурп Суите-а за тестирање веб апликација

Како користити алатку за уљезе Бурп Суите-а за тестирање веб апликација
Читаоци попут вас помажу у подршци МУО. Када обавите куповину користећи везе на нашем сајту, можда ћемо зарадити провизију за партнере. Опширније.

Бурп Суите је моћан скенер рањивости који је развио Портсвиггер који се користи за тестирање безбедности веб апликација. Бурп Суите, који долази са дистрибуцијама као што су Кали и Паррот, има алат под називом Интрудер, који вам омогућава да извршите аутоматизоване специјалне нападе на онлајн апликације за етичко хаковање. Интрудер је флексибилан алат који се може конфигурисати, што значи да га можете користити за аутоматизацију било ког задатка који се појави у апликацијама за тестирање.





МАКЕУСЕОФ ВИДЕО ДАНА

Па како то заправо функционише?



Коришћење циља у Интрудер-у

бирање типа напада на уљеза за подригивање

Таргет, који можете да видите када дођете на картицу Интрудер у Бурп Суите-у, садржи информације о циљној веб локацији или апликацији коју желите да тестирате. Можете да унесете информације о хосту и број порта као циљ у одељку „Позиције корисног оптерећења“.





Коришћење картице Поситионс у Интрудер

На картици Позиције можете да видите типове напада, шаблон захтева и информације о параметрима који ће бити циљани. Ево типова напада које можете тестирати користећи Бурп Суите.

снајпериста: Ова опција користи само један параметар. У овом случају не утиче на нециљане параметре.



Ован: Ова опција користи један вектор напада за све циљане параметре. То јест, ако постоје три циљана параметра у шаблону захтева, он напада сва три користећи исте векторе напада.

виле: У овој опцији, могуће је користити више од једног вектора напада за све циљане параметре. Ако мислите да постоје три циљана параметра у шаблону захтева, први захтев би био да изаберете и поставите први елемент прве листе за први параметар; први елемент друге листе за други параметар; а први елемент треће листе за трећи параметар. У другом захтеву, елементи који ће бити изабрани биће други елемент сваке листе. Можете користити овај тип напада када постављате различите векторе на више параметара циља.



касетна бомба: Можете запослити више од једног вектора напада за све циљане параметре који користе ову опцију. Разлика између ње и опције Питцхфорк је у томе што вам касетна бомба омогућава да прилагодите све комбиноване дистрибуције. Не прави секвенцијалне изборе као Питцхфорк. Покушај сваке могуће комбинације циљних параметара може довести до великог оптерећења захтева. Као резултат тога, морате бити опрезни када користите ову опцију.

снајперски баттеринг рам питцхфорк цлустербомб

Постоје још нека корисна дугмад на екрану Позиције. Можете уклонити било који изабрани параметар помоћу Јасно дугме на десној страни. Ако желите да циљате нову, можете користити Додати дугме са десне стране такође. Користити Ауто дугме да аутоматски изаберете сва поља или да се вратите у првобитно стање.



додајте јасан ауто и дугме за освежавање на уљеза

Шта су картице са корисним оптерећењем у Бурп Суите-у?

Размислите о листама терета као што су листе речи. Можете користити Корисна оптерећења картицу за подешавање једне или више листа корисног оптерећења. Број скупова корисног оптерећења варира у зависности од типа напада.

како организовати књиге о киндлу

Можете дефинисати скуп терета на један или више начина. Ако имате јаку листу речи, можете да увезете своју листу речи тако што ћете изабрати Учитај дугме из одељка „Опције терета“.

Такође можете припремити засебне скупове корисног оптерећења за циљане параметре. На пример, можете користити само нумеричке изразе за први циљни параметар, док можете користити сложене изразе за други циљни параметар.

опција корисног оптерећења Бурп Суите једноставна листа

Обрада терета

Можете даље проширити скупове корисног оптерећења конфигурисане преко Обрада терета са правилима и кодирањем. На пример, можете да додате префикс свим корисним учитавањима, да их кодирате и декодирате или да прескочите изразе који пролазе одређене регуларне изразе.

Пентестирање процеса корисног оптерећења

Паилоад Енцодинг

Витх Паилоад Енцодинг , можете одредити који знакови треба да буду УРЛ кодирани у параметрима током преноса ХТТП захтева до одредишта без икаквих проблема. УРЛ кодирање је конвертована верзија информација која ће вероватно бити помешана са адресом. Бурп Суите шаље УРЛ да кодира еквиваленте знакова као што су амперсанд (&), звездице (*) и тачке и зарезе и двотачке (односно, ; и :) у подразумеваним подешавањима.

Кодирање знакова уз Бурп Суите Интрудер Паилоад обраду

Шта је картица Опције у Интрудер-у?

Тхе Опције таб има опције за заглавља захтева, резултате напада, греп подударања и преусмеравања. Можете их променити у интерфејсу Интрудер пре него што започнете скенирање.

Заглавља захтева

подешавање заглавља и дужине везе

Можете поставити заглавља захтева користећи подешавања у пољу „Заглавља захтева“. Важно је напоменути да је заглавље Цонтент-Ленгтх: одредишна адреса може вратити грешку ако садржај није правилно ажуриран.

Ако се не користе информације Сет-Цоннецтион, веза може остати отворена, па се након активирања опције Сет-Цоннецтион веза прекида. Међутим, можете обавити трансакције нешто брже.

Грешка руковање

поновних покушаја и паузирања након грешака

Подешавања у одељку „Руковање грешкама“ контролишу механизам који се користи за генерисање ХТТП захтева у скенирању Уљеза. Овде можете подесити параметре као што су брзина, тежина и трајање напада.

Резултати напада

које информације хвата Интрудер током сајбер напада

Одељак „Резултати напада“ вам омогућава да подесите које информације ће бити у резултатима скенирања. Ова подешавања конфигурације имају следеће опције:

  • Чувајте захтеве/одговоре: Ове две опције служе за одређивање да ли или не треба да чува садржај захтева и одговора на скенирање.
  • Направите неизмењени основни захтев: Ово садржи основне вредности циљаних параметара, као и конфигурисане захтеве за скенирање, тако да можете да упоредите одговоре скенирања.
  • Користите режим ускраћивања услуге: Са овом опцијом, можете направити уобичајени захтев за скенирање. Међутим, може се изненада угасити пре него што дође до одговора сервера јер ова функција узрокује замор циљног сервера. Зато га морате пажљиво користити.
  • Чувајте пуну носивост: Ово омогућава Бурп Суите-у да сачува тачне вредности корисног оптерећења за сваки резултат. Ако изаберете ово, Интрудер ће заузети додатни простор.

Греп - Поклапање, издвајање, носивости

екстракт типова подударања

Можете да користите подешавања у одељцима „Греп—Матцх“, „Греп—Ектрацт“ и „Греп—Паилоадс“ да бисте означили резултате који садрже фразе наведене у одговорима на скенирање. Бурп Суите ће додати колону за потврду за сваку ставку коју конфигуришете, показујући да ли је ставка пронађена у одговору. На пример, у нападима лозинком , можда ћете видети реченице као што су „нетачна лозинка“ и „успешно пријављивање“. Функције у одељку Греп-Матцх укључују:

  • Тип подударања: Ово показује да ли су дефинисани изрази регек (регуларни израз) или текстуални израз.
  • Подударање које разликује велика и мала слова: Ово одређује да ли треба да буде осетљиво на велика и мала слова или не.
  • Изузми ХТТП заглавље: Спецификовати да ли су линије заглавља су изузети од ове операције.

Зашто је Бурп Суите тако важан?

Етички хакери често користе Бурп Суите за операције награђивања грешака. Слично томе, истраживачи безбедности који раде у корпоративним компанијама и тестери пенетрације који желе да изврше безбедносне тестове на интернет апликацијама могу се такође ослонити на Бурп Суите. Наравно, постоји много других одличних алата које можете користити за тестирање пенетрације; савладавање других алата за пентестирање поред Бурп Суите-а учиниће да се издвојите.