BurpSuite
Zur Navigation springen
Zur Suche springen
Allgemein
- Netzwerkanalyse-Werkzeugkasten
- Testen von Web-Anwendungen.
- Burp Proxy, der den HTTP/HTTPS-Verkehr abfängt
- HTTP-Header können modifiziert werden
Vorbereitung
- Burp-Suite ist in Java geschrieben.
- Es gibt eine kostenlose Community-Version mit eingeschränktem Umfang
- Es gibt eine kommerzielle Variante mit größerem Funktionsumfang an.
- Kali Linux hat die Burp-Suite bereits zum vorinstalliert
- Wie bei allen dieser Tools kann man es in guter oder böser Absicht verwenden.
- Man sollte immer das Einverständnis des Seitenbetreiber einholen.
Wie die Software funktioniert
- Die Burp-Suite agiert als lokaler Proxyserver.
- Der kompletten Datenverkehr wird abfangen und wird aufgezeichnen.
- Man kann gezielt Lücken einer Anwendung finden und testen
Starten
- Nach dem Starten kann man erst einmal angebotene temporäre Projekt anfangen.
- Man kann nun einen eigenen Browser nutzen oder den, den die Suite mitbringt.
- Wenn die Fehlermeldung der Zertifikate stört, kann das ROOT CA der Suite installieren.
- Die Burb Suite stellt dann für jede Seite ein separtes Zertifikat aus.
Proxy
- Es gibt zwei entscheidende Modi
- Intercept is on
- Intercept is off
- Bei on muss jedes Paket quitiert werden.
Intruder
- Mit dieser Funktion kann man eine Brute Force Attacke durchführen
- Man kann über Position Stellen innerhalb des Requests verändern
- Über den Payload kann man beispielsweise eine Passwortliste laden
- Wenn alles definiert ist kann man eine Attacke starten.
Premium-Version
- Sie kostet knapp unter 450 Euro pro Jahr
- Der Scanner kann automatisch Schwachstellen finden.
- Wer regelmässig Tests durchführen will sollte zur Premiumversion greifen.