Tutoriel Burp Suite

Burp Suite est un assortiment d'appareils utilisés pour effectuer des tests d'intrusion et des inspections de sécurité. Ce tutoriel se concentre principalement sur la version gratuite. La suite Burp peut agir comme un proxy d'interruption et capture également le trafic entre un navigateur Internet et un serveur Web. Les autres fonctionnalités de Burp Suite incluent un scanner, une araignée sensible aux applications, un intrus, un répéteur, un séquenceur, un comparateur, un extenseur et un décodeur.

Caractéristiques

Vous trouverez ci-dessous une description des fonctionnalités de la Burp Suite :

• Scanner: Recherche de vulnérabilités.
• Araignée sensible aux applications : Utilisé pour glisser une étendue donnée de pages.
• Intrus: Utilisé pour effectuer des assauts et des forces brutes sur les pages de manière adaptable.
• Répétiteur: Utilisé pour contrôler et détourner toutes les demandes.
• Séquenceur: Utilisé pour tester les jetons de session.
• Extenseur: vous permet de composer facilement vos plugins pour obtenir des fonctionnalités personnalisées
• Comparateur et décodeur : Les deux sont utilisés à des fins diverses.

Araignée rot

La Burp Suite a également un bug connu sous le nom de Burp Spider. Le Burp Spider est un programme qui parcourt toutes les pages d'objectif indiquées dans le champ d'application. Avant de commencer un bug Burp, la Burp Suite doit être organisée pour capturer le trafic HTTP.

Qu'est-ce que le test d'entrée d'application Web?

Les tests d'entrée des applications Web effectuent une attaque numérique pour rassembler des données sur votre framework, découvrir ses faiblesses et découvrir comment ces lacunes pourraient éventuellement compromettre votre application ou votre système.

Interface

Comme d'autres outils, Burp Suite contient des lignes, des barres de menus et divers ensembles de panneaux.

Le tableau ci-dessous vous montre les différentes options qui sont décrites ci-dessous.

1. Onglets du sélecteur d'outils et d'options : sélectionnez les outils et les paramètres.
2. Vue du plan du site : affiche le plan du site.
3. File d'attente des demandes : indique quand les demandes sont en cours.
4. Détails de la demande/réponse : affiche les demandes et les réponses du serveur.

Spidering un site Web est une fonction importante de la réalisation de tests de sécurité Web. Cela permet d'identifier le degré d'application Web. Comme mentionné ci-dessus, la Burp Suite a sa propre araignée, appelée Burp Spider, qui peut se glisser dans un site Web. Il comprend principalement quatre étapes.

Pas

Étape 1 : Configurer un proxy

Tout d'abord, démarrez Burp Suite et vérifiez les options sous le Options sous-onglet.

Détecter l'IP est hôte local IP et le port est 8080.

Détectez également pour vous assurer que l'interception est activée. Ouvrez Firefox et accédez au Options languette. Cliquez sur Préférences, ensuite Réseau, ensuite Paramètres de connexion, et après cela, choisissez le Configuration manuelle du proxy sélection.

Pour installer le proxy, vous pouvez installer le sélecteur de proxy à partir du Modules complémentaires page et cliquez Préférences.

Aller à Gérer les procurations et inclure un autre intermédiaire, en complétant les données applicables.

Clique sur le Sélecteur de proxy en haut à droite et sélectionnez le proxy que vous venez de créer.

Étape 2 : Obtenir du contenu

Après avoir configuré le proxy, accédez à l'objectif en entrant l'URL dans la barre d'adresse. Vous pouvez voir que la page ne se charge pas. Cela se produit parce que Burp Suite capture l'association.

Dans la suite Burp, vous pouvez voir les options de demande. Cliquez en avant pour faire avancer l'association. À ce stade, vous pouvez voir que la page s'est empilée dans le programme.

Pour en revenir à la Burp Suite, vous pouvez voir que toutes les zones sont peuplées.

Étape 3 : Sélection et démarrage de Spider

Ici, l'objectif mutilidae est choisi. Faites un clic droit sur le mutillidés objectif du plan du site et sélectionnez le Araignée d'ici option.

Lorsque l'araignée commence, vous obtiendrez un bref détail, comme indiqué dans la figure ci-jointe. Ceci est une structure de connexion. L'araignée pourra ramper en fonction des informations fournies. Vous pouvez ignorer ce processus en cliquant sur le bouton « Ignorer le formulaire ».

Étape 4 : Manipulation des détails

Au fur et à mesure que le bogue s'exécute, l'arbre dans le mutillidés la branche se remplit. De même, les demandes effectuées apparaissent dans la ligne, et les détails sont répertoriés dans le Demander languette.

Passez aux différents onglets et voyez toutes les données de base.

Enfin, vérifiez si le Spider est terminé en consultant l'onglet Spider.

Ce sont les éléments essentiels et les premières étapes d'un test de sécurité Web à l'aide de Burp Suite. Le spidering est un élément important de la reconnaissance pendant le test, et en l'exécutant, vous pouvez mieux comprendre l'ingénierie du site objectif. Dans les prochains exercices pédagogiques, nous allons étendre cela à différents outils de l'ensemble d'appareils de la suite Burp.

Conclusion

Burp Suite peut être utilisé comme un intermédiaire http fondamental pour bloquer le trafic pour l'enquête et la lecture, un scanner de sécurité d'application Web, un instrument pour effectuer des attaques mécanisées contre une application Web, un appareil pour inspecter un site entier pour reconnaître la surface d'attaque, et un API de module avec de nombreux add-ons externes accessibles. J'espère que cet article vous a aidé à en savoir plus sur cet incroyable outil de test d'intrusion.