Vlastnosti
Ďalej uvádzame popis funkcií balíka Burp Suite:
- Skener: Vyhľadáva zraniteľné miesta.
- Pavúk informujúci o aplikácii: Používa sa na plazenie daného rozsahu stránok.
- Votrelec: Používa sa na adaptívne vykonávanie útokov a hrubých síl na stránkach.
- Opakovač: Používa sa na riadenie a presmerovanie všetkých požiadaviek.
- Sekvencer: Používa sa na testovanie tokenov relácie.
- Predlžovač: Umožňuje vám ľahko zostaviť doplnky, aby ste získali prispôsobenú funkčnosť
- Porovnávač a dekodér: Oba sa používajú na rôzne účely.
Burp Spider
Burp Suite má tiež chybu známu ako Burp Spider. Burp Spider je program, ktorý prehľadáva všetky cieľové stránky uvedené v rozsahu. Pred spustením chyby Burp musí byť sada Burp Suite usporiadaná tak, aby zachytávala prenos HTTP.
Čo je vstupné testovanie webových aplikácií?
Vstupné testovanie webových aplikácií vykonáva digitálne útoky na zhromaždenie údajov o vašom rámci, odhalenie jeho slabých stránok a zistenie, ako by tieto nedostatky mohli nakoniec ohroziť vašu aplikáciu alebo systém.
Rozhranie
Rovnako ako iné nástroje, aj sada Burp obsahuje riadky, pruhy ponúk a rôzne sady panelov.
Nasledujúca tabuľka zobrazuje rôzne možnosti, ktoré sú popísané nižšie.
- Karty výberu nástrojov a možností: Vyberte nástroje a nastavenia.
- Zobrazenie súboru Sitemap: Zobrazí súbor Sitemap.
- Fronta požiadaviek: Ukazuje, kedy sa odosielajú požiadavky.
- Podrobnosti požiadavka / odpoveď: Zobrazuje požiadavky a odpovede zo servera.
Spiderovanie webových stránok je významnou funkciou vykonávania testov zabezpečenia webu. To pomáha identifikovať stupeň webovej aplikácie. Ako už bolo spomenuté vyššie, sada Burp Suite má vlastného pavúka s názvom Burp Spider, ktorý sa dá vkĺznuť na webovú stránku. Zahŕňa hlavne štyri kroky.
Kroky
Krok 1: Nastavte proxy server
Najskôr spustite Burp Suite a skontrolujte možnosti pod možnosti podstránka.
Zistiť IP je localhost IP a port je 8080.
Zistite tiež, či je zachytenie zapnuté. Otvorte Firefox a choďte na možnosti tab. Kliknite Predvoľby, potom Sieť, potom Nastavenia pripojenia, a potom vyberte ikonu Ručná konfigurácia servera proxy výber.
Ak chcete nainštalovať proxy, môžete nainštalovať selektor proxy z adresy Doplnky stránku a kliknite na Predvoľby.
Ísť do Spravovať proxy a zahrnúť iného sprostredkovateľa zaokrúhľujúceho príslušné údaje.
Klikni na Proxy Selector vpravo hore a vyberte proxy, ktoré ste práve vytvorili.
Krok 2: Získanie obsahu
Po nastavení servera proxy prejdite na cieľ zadaním adresy URL do panela umiestnenia. Môžete vidieť, že stránka sa nenačíta. Stáva sa to preto, lebo Burp Suite zachytáva asociáciu.
V balíku Burp Suite môžete vidieť možnosti žiadosti. Kliknutím dopredu posuniete asociáciu ďalej. V tomto okamihu môžete vidieť, že sa stránka v programe nahromadila.
Keď sa vrátime k balíku Burp, uvidíte, že všetky oblasti sú obývané.
Krok 3: Výber a spustenie Spidera
Tu je cieľ mutillidae je zvolený. Kliknite pravým tlačidlom myši na ikonu mutillidae objekt zo súboru Sitemap a vyberte ikonu Pavúk odtiaľto možnosť.
Keď začne Spider, získate krátky detail, ako je znázornené na priloženom obrázku. Toto je štruktúra prihlásenia. Spider bude môcť prechádzať na základe poskytnutých informácií. Tento proces môžete preskočiť kliknutím na tlačidlo „Ignorovať formulár“.
Krok 4: Manipulácia s podrobnosťami
Ako chyba beží, strom v mutillidae vetva sa zaľudní. Rovnako sa v riadku zobrazia zadané požiadavky a podrobnosti sú uvedené v zozname Žiadosť tab.
Pokračujte ďalej na rôzne karty a pozrite si všetky základné údaje.
Nakoniec skontrolujte, či je Spider hotový, a to na karte Spider.
Toto sú veľmi podstatné a počiatočné fázy testu zabezpečenia webu pomocou balíka Burp Suite. Spidering je dôležitým kúskom prieskumu počas testu a jeho vykonaním môžete lepšie pochopiť inžinierstvo cieľovej stránky. V nadchádzajúcich inštruktážnych cvičeniach to natiahneme na rôzne nástroje v súbore zariadení v Burp Suite.
Záver
Burp Suite sa dá využiť ako základný sprostredkovateľ protokolu HTTP na blokovanie prenosu na účely vyšetrovania a prehrávania, bezpečnostný skener webových aplikácií, nástroj na vykonávanie mechanizovaných útokov na webovú aplikáciu, zariadenie na kontrolu celého webu, aby rozpoznalo útočný povrch, a modulové API s mnohými prístupnými doplnkami pre outsiderov. Dúfam, že vám tento článok pomohol dozvedieť sa viac o tomto úžasnom nástroji na testovanie perom.