Wenn es darum geht, die Sicherheit von Webanwendungen zu testen, ist es schwierig, eine Reihe von Tools zu finden besser als Burp Suite von Portswigger Web Security. Es ermöglicht Ihnen, den Webverkehr abzufangen und zu überwachen, zusammen mit detaillierten Informationen über die Anfragen und Antworten an und von einem Server.
Es gibt viel zu viele Funktionen in der Burp Suite, um sie in nur einem Leitfaden zu behandeln, daher wird dieser in vier Teile unterteilt. Dieser erste Teil behandelt die Einrichtung der Burp Suite und ihre Verwendung als Proxy für Firefox. Der zweite behandelt, wie man Informationen sammelt und den Burp Suite-Proxy verwendet. Der dritte Teil befasst sich mit einem realistischen Testszenario unter Verwendung von Informationen, die über den Burp Suite-Proxy gesammelt wurden. Der vierte Leitfaden behandelt viele der anderen Funktionen, die Burp Suite zu bieten hat.
In diesem Leitfaden üben Sie die Verwendung von Burp Suite auf einer selbst gehosteten Instanz von WordPress. Wenn Sie Hilfe beim Einrichten benötigen, lesen Sie Ihren Debian-Leitfaden.
Burp Suite wird standardmäßig auf Kali Linux installiert, sodass Sie sich keine Gedanken über die Installation machen müssen. Tatsächlich ist es eine der Anwendungen in der Favoritenliste auf einer Kali-Live-CD.
Öffnen Sie es und klicken Sie sich durch die Eröffnungsmenüs. Verwenden Sie einfach die Standardeinstellungen. Es gibt eine gewisse Konfigurationstiefe, in die Burp Suite einsteigen kann, dies ist jedoch für dieses Handbuch oder die grundlegende Verwendung nicht erforderlich.
Firefox einrichten
Burp Suite enthält einen abfangenden Proxy. Um Burp Suite zu verwenden, müssen Sie einen Browser konfigurieren, um seinen Datenverkehr durch den Burp Suite-Proxy zu leiten. Dies ist mit Firefox, dem Standardbrowser von Kali Linux, nicht allzu schwierig.
Öffnen Sie Firefox und klicken Sie auf die Menüschaltfläche, um das Firefox-Einstellungsmenü zu öffnen. Klicken Sie im Menü auf „Einstellungen“. Dies öffnet die Registerkarte „Einstellungen“ in Firefox. Ganz links auf der Registerkarte befindet sich eine weitere Menüliste. Klicken Sie auf die letzte Option „Erweitert“. Oben auf der Registerkarte „Erweitert“ befindet sich ein neues Menü. Klicken Sie in der Mitte auf die Option „Netzwerk“. Klicken Sie im Abschnitt „Netzwerk“ auf die obere Schaltfläche mit der Bezeichnung „Einstellungen…“. Dadurch werden die Proxy-Einstellungen von Firefox geöffnet.
In Firefox sind eine Reihe von Optionen zum Umgang mit Proxys integriert. Wählen Sie für diese Anleitung das Optionsfeld „Manuelle Proxy-Konfiguration:“ aus. Dies öffnet eine Reihe von Optionen, mit denen Sie die IP-Adresse und Portnummer Ihres Proxys für jedes einer Reihe von Protokollen manuell eingeben können. Standardmäßig läuft Burp Suite auf Port 8080 , und da Sie dies auf Ihrem eigenen Computer ausführen, geben Sie 127.0.0.1 ein als IP. Ihr Hauptanliegen wird HTTP sein, aber Sie können das Kontrollkästchen „Diesen Proxy-Server für alle Protokolle verwenden“ aktivieren, wenn Sie sich faul fühlen.
Unter den anderen manuellen Konfigurationsoptionen befindet sich ein Feld, in dem Sie Ausnahmen für den Proxy eingeben können. Firefox fügt beide Namen hinzu, localhost , sowie die IP, 127.0.0.1 , zu diesem Feld. Löschen oder ändern Sie sie, da Sie den Datenverkehr zwischen Ihrem Browser und einer lokal gehosteten WordPress-Installation überwachen werden.
Wenn Firefox konfiguriert ist, können Sie mit der Konfiguration von Burp fortfahren und den Proxy starten.
Konfigurieren des Proxys
Der Proxy sollte standardmäßig konfiguriert sein, aber nehmen Sie sich einfach eine Sekunde Zeit, um ihn noch einmal zu überprüfen. Wenn Sie die Einstellungen in Zukunft ändern möchten, tun Sie dies auf dieselbe Weise.
Klicken Sie in Ihrem Burp Suite-Fenster auf „Proxy“ in der obersten Reihe der Registerkarten und dann auf „Optionen“ auf der unteren Ebene. Im oberen Bereich des Bildschirms sollte „Proxy Listeners“ stehen und ein Kästchen mit dem localhost IP und Port 8080 . Links daneben sollte ein Häkchen in der Spalte „Running“ sein. Wenn Sie das sehen, können Sie mit der Erfassung des Datenverkehrs mit der Burp Suite beginnen.
Abschlussgedanken
An diesem Punkt läuft die Burp-Suite als Proxy für Firefox und Sie sind bereit, sie zu verwenden, um Informationen zu erfassen, die von Firefox zu Ihrer lokal gehosteten WordPress-Installation kommen.
Im nächsten Leitfaden erfassen Sie diese Informationen und lernen, wie Sie sie lesen und in brauchbare Teile zerlegen. Die Menge an Informationen, die Burp Suite sammeln kann, ist ziemlich erstaunlich und eröffnet eine Welt voller neuer Möglichkeiten zum Testen Ihrer Webanwendungen.