Einführung
Es ist wichtig, sich daran zu erinnern, dass Burp Suite eine Software-Suite ist, und deshalb war eine ganze Serie erforderlich, um auch nur die Grundlagen abzudecken. Da es sich um eine Suite handelt, sind auch weitere Tools gebündelt, die miteinander und mit dem Proxy, mit dem Sie bereits vertraut sind, zusammenarbeiten. Diese Tools können das Testen beliebig vieler Aspekte einer Webanwendung erheblich vereinfachen.
Dieser Leitfaden wird nicht auf jedes Tool eingehen und nicht zu sehr in die Tiefe gehen. Einige der Tools in Burp Suite sind nur mit der kostenpflichtigen Version der Suite verfügbar. Andere werden im Allgemeinen nicht so häufig verwendet. Aus diesem Grund wurden einige der am häufigsten verwendeten ausgewählt, um Ihnen den bestmöglichen praktischen Überblick zu geben.
Alle diese Tools finden Sie in der obersten Reihe der Registerkarten in der Burp Suite. Wie der Proxy haben viele von ihnen Unterregisterkarten und Untermenüs. Fühlen Sie sich frei, es zu erkunden, bevor Sie sich mit den einzelnen Tools befassen.
Ziel
Target ist kein großes Werkzeug. Es ist wirklich eher eine alternative Ansicht für den Datenverkehr, der über den Burp Suite-Proxy gesammelt wird. Target zeigt den gesamten Datenverkehr nach Domain in Form einer zusammenklappbaren Liste an. Sie werden wahrscheinlich einige Domains in der Liste bemerken, an deren Besuch Sie sich definitiv nicht erinnern können. Das liegt daran, dass diese Domains normalerweise Orte sind, an denen Assets wie CSS, Schriftarten oder JavaScript auf einer von Ihnen besuchten Seite gespeichert wurden, oder sie sind der Ursprung von Anzeigen, die auf der Seite angezeigt wurden. Es kann nützlich sein, zu sehen, wohin der gesamte Datenverkehr einer einzelnen Seitenanforderung geleitet wird.
Unter jeder Domäne in der Liste befindet sich eine Liste aller Seiten, von denen Daten innerhalb dieser Domäne angefordert wurden. Darunter könnten spezifische Anfragen nach Vermögenswerten und Informationen zu spezifischen Anfragen stehen.
Wenn Sie eine Anfrage auswählen, können Sie die über die Anfrage gesammelten Informationen neben der ausblendbaren Liste sehen. Diese Informationen sind mit den Informationen identisch, die Sie im Abschnitt „HTTP-Verlauf“ des Proxys anzeigen konnten, und sie sind genauso formatiert. Target bietet Ihnen eine andere Möglichkeit, es zu organisieren und darauf zuzugreifen.
Repeater
Der Repeater ist, wie der Name schon sagt, ein Tool, mit dem Sie eine erfasste Anfrage wiederholen und ändern können. Sie können eine Anfrage an den Repeater senden und die Anfrage so wiederholen, wie sie war, oder Sie können Teile der Anfrage manuell ändern, um mehr Informationen darüber zu sammeln, wie der Zielserver Anfragen verarbeitet.
Suchen Sie Ihre fehlgeschlagene Anmeldeanforderung in Ihrem HTTP-Verlauf. Klicken Sie mit der rechten Maustaste auf die Anfrage und wählen Sie „An Repeater senden“. Die Registerkarte „Repeater“ wird hervorgehoben. Klicken Sie darauf und Sie sehen Ihre Anfrage im linken Feld. Genau wie auf der Registerkarte HTTP-Verlauf können Sie die Anfrage in verschiedenen Formen anzeigen. Klicken Sie auf „Los“, um die Anfrage erneut zu senden.
Die Antwort vom Server erscheint im rechten Feld. Dies entspricht auch der ursprünglichen Antwort, die Sie vom Server erhalten haben, als Sie die Anfrage zum ersten Mal gesendet haben.
Klicken Sie auf die Registerkarte „Params“ für die Anfrage. Versuchen Sie, die Parameter zu bearbeiten und die Anfrage zu senden, um zu sehen, was Sie zurückbekommen. Sie können Ihre Anmeldeinformationen oder sogar andere Teile der Anfrage ändern, die neue Arten von Fehlern erzeugen können. In einem realen Szenario könnten Sie den Repeater verwenden, um herumzutasten und zu sehen, wie ein Server auf verschiedene Parameter oder deren Fehlen reagiert.
Eindringling
Das Intruder-Tool ist einer Brute-Force-Anwendung wie Hydra aus dem letzten Guide sehr ähnlich. Das Eindringling-Tool bietet einige verschiedene Möglichkeiten, einen Testangriff zu starten, aber es ist auch in seinen Fähigkeiten in der kostenlosen Version von Burp Suite eingeschränkt. Daher ist es wahrscheinlich immer noch eine bessere Idee, ein Werkzeug wie Hydra für einen vollständigen Brute-Force-Angriff zu verwenden. Das Intruder-Tool kann jedoch für kleinere Tests verwendet werden und kann Ihnen eine Vorstellung davon geben, wie ein Server auf einen größeren Test reagieren wird.
Die Registerkarte „Ziel“ ist genau das, wonach es scheint. Geben Sie den Namen oder die IP-Adresse eines zu testenden Ziels und den Port ein, den Sie testen möchten.
Auf der Registerkarte „Positionen“ können Sie die Bereiche der Anfrage auswählen, in denen Burp Suite Variablen aus einer Wortliste ersetzen wird. Standardmäßig wählt Burp Suite Bereiche aus, die üblicherweise getestet werden. Sie können dies manuell mit den Reglern an der Seite einstellen. Löschen entfernt alle Variablen, und Variablen können manuell hinzugefügt und entfernt werden, indem Sie sie markieren und auf „Hinzufügen“ oder „Entfernen“ klicken.
Auf der Registerkarte „Positionen“ können Sie auch auswählen, wie Burp Suite diese Variablen testet. Sniper durchläuft jede Variable gleichzeitig. Battering Ram durchläuft sie alle mit demselben Wort zur gleichen Zeit. Pitchfork und Cluster Bomb ähneln den beiden vorherigen, verwenden jedoch mehrere unterschiedliche Wortlisten.
Auf der Registerkarte „Payloads“ können Sie eine Wortliste zum Testen mit dem Intruder-Tool erstellen oder laden.
Vergleicher
Das letzte Tool, das in diesem Handbuch behandelt wird, ist „Comparer“. Auch hier vergleicht das treffend benannte Vergleichstool zwei Anfragen nebeneinander, sodass Sie leichter Unterschiede zwischen ihnen erkennen können.
Gehen Sie zurück und finden Sie die erfolglose Anmeldeanfrage, die Sie an WordPress gesendet haben. Klicken Sie mit der rechten Maustaste darauf und wählen Sie „Zum Vergleich senden“. Dann finden Sie den erfolgreichen und tun Sie dasselbe.
Sie sollten unter der Registerkarte „Vergleicher“ übereinander erscheinen. In der unteren rechten Ecke des Bildschirms befindet sich ein Etikett mit der Aufschrift „Vergleichen…“ mit zwei Schaltflächen darunter. Klicken Sie auf die Schaltfläche „Wörter“.
Es öffnet sich ein neues Fenster mit den Anforderungen nebeneinander und allen Steuerelementen mit Registerkarten, die Sie im HTTP-Verlauf zum Formatieren ihrer Daten hatten. Sie können sie einfach aneinanderreihen und Datensätze wie Header oder Parameter vergleichen, ohne zwischen den Anfragen hin und her blättern zu müssen.
Abschlussgedanken
Das ist es! Sie haben alle vier Teile dieser Burp Suite-Übersicht durchgearbeitet. Inzwischen haben Sie ein ausreichendes Verständnis, um die Burp-Suite selbst zu verwenden und damit zu experimentieren und sie in Ihren eigenen Penetrationstests für Webanwendungen zu verwenden.