Защита облачных технологий

Хакинг и тестирование на проникновение

Главное его преимущество над Proxomitron

Эффективный и быстрый пентестинг веб-приложений с Burp Suite


Burp Suite #8211; это набор относительно независимых кроссплатформенных приложений, написанных на Java, призванных решать повседневные задачи пентестера. этичный хакинг Ядром программы является Burp Proxy, выполняющий функции локального прокси-сервера; остальные компоненты набора #8211; это Spider, Intruder, Repeater, Sequencer, Decoder и Comparer. Все составляющие связаны между собой в единое целое таким образом, что данные могут быть отправлены в любую часть приложения, например из Proxy в Intruder для проведения различных проверок над веб-приложением, из Intruder в Repeater #8211; для более тщательного ручного анализа HTTP-заголовков. Все компоненты заслуживают особого внимания, поэтому хотел бы рассказать о каждом из них.
Burp Proxy предоставляет возможность перехватить пакет в тот момент, когда он уже сформирован барузером, но еще не отправлен на удаленный сервер. Главное его преимущество над Proxomitron заключается в том, что последний осуществляет модификацию HTTP-заголовков на основе заранее заданных правил, что существенно ограничивает свободу действий. Запросы, похожие на «защита от sql-инъекций» Burp Proxy работает по принципу плагина для Firefox Tamper Data: запускаем перехват и получаем возможность редактирования исходящих HTTP-пакетов.

Кроме того, Burp Proxy позволяет выборочно перехватывать пакеты, а также изменять заголовки ответа сервера на основе правил, заданных в формате регулярных выражений. В целом, очень гибкий и удобный интрумент.
Burp Spider #8211; это классический паук, который собирает информацию о существующих директориях и файлах на сервере, обходя найденные на страницах ссылки. В настройках можно указать глубину входа по каждой ссылке, а также различные правила для исключения определенных типов файлов и URL страниц. Burp Spider смотрит в robots.txt, парсит JavaScript на наличие ссылок, обращается к корню каждой найденной папки для получения листинга и распознает формы в HTML.
Самым любопытным компонентом, на мой взгляд, является Burp Intruder. kali linux проверка сайта на уязвимости Он предназначен для циклического повторения запросов с целью сбора информации о сервере, эксплуатирования SQL-инъекций, поиска XSS-уязвимостей. Сперва во вкладке Target необходимо указать цель испытаний (или же можно отправить, например, из Burp Proxy всю информацию сюда и все поля будут автоматически заполнены).

Далее во вкладке Positions необходимо определить параметры, которые будем проверять или изменять. При этом не забываем указать тип атаки #8211; для большинства случаев подходит Sniper, т.е. для каждого отмеченного участка производится подстановка payload#8217;а из списка по очереди. Как только были определены все интересующие участки, можно переходить к настройке атаки и выбору payload#8217;а.

Burp Intruder предлагает несколько типов полезной нагрузки, которые способны решить многие задачи, начиная от брутфорса формы авторизации и заканчивая автоматически обнаружением XSS. безопасность и человеческий фактор Приведу пример настройки Burp Intruder для получения списка таблиц из БД посредством SQL-инъекции.
Сперва необходимо перехватить с помощью Burp Proxy запрос, отправленный к веб-приложению с параметром, уязвимого к SQL-инъекцией, затем нужно отправить данные HTTP-пакета в Intruder (Action-Send to Intruder). проверка почты на взлом Теперь нужно отделить участок уязвимого параметра с помощью символа §:
FROM+information_schema.TABLES+WHERE+TABLE_SCHEMA=0x7770+LIMIT+ §1§ ,1/* HTTP/1.1
User-Agent: Opera/9.61 (Windows NT 5.1; U; ru) Presto/2.1.1
Теперь переходим к вкладке payloads и указываем:
range to: 100 (т.к. не знаем сколько таблиц в БД)
Остальное оставляем все как есть. Итак, аргумент LIMIT будет увеличиваться на один с каждой итерацией, но нужно также позаботиться об извлечении данных. Для этого переходим к владке Options и в секции grep выбираем вкладку extract.

В текстовое поле вводим !— — (т.е. в concat() это значение 0x3C212D2D), жмем add, в поле stop capturing at указываем — — (0x2D2D3E) и, наконец, ставим галку около capture text following these expressions. облачные технологии и защита информации Готово!
Теперь запускаем атаку из главного меню программы (Intruder-Start). Результат можно увидеть на скрине #8211; все найденные таблицы помещены в отдельный столбец:
К сожалению, Burp Intruder, поставляемый в комплекте с Burp Suite, имеет статус Demo-версии и делает задержку на 1 секунду между запросами.
Как уже отмечалось, с помощью Burp Intruder можно реализовать большое количество разнобразных типов атак и описать все возможности в рамках данного обзора не представляется возможным. Более подробно об использовании Burp Intruder читайте в главе XIII книги Web Application Hacker Handbook, а также на сайте разработчиков.
Функция данного компонента #8211; ручная отправка HTTP-запросов для детального анализа возвращаемых заголовков. Пакеты очень удобно править, а ответы сервера можно смотреть во встроенном браузере. В целом, очень похоже на программу InetCrack.
Burp Sequencer служит для анализа случайности токенов в HTML-формах, используемых, в основном, в целях защиты от CSRF. На основе загруженных в программу токенов проводятся различные тесты для изучения их степени рандомности. Честно говоря, самый бесполезный компонент из всех.
Стандартная утилита для преобразования текстовых строк из одного представления в другое, в частности url, html, base64, ascii hex, hex, octal, binary, gzip. Думаю, в комментариях не нуждается.
Инструмент для сопоставления строк: подсвечиваются участки, которые были изменены, добавлены или удалены. поиск уязвимостей на сайте У меня программа работала не совсем корректно, лучше использовать специализированные программы.
В целом, Burp Suite меня приятно порадовал, его возможности в сравнении с аналогами поиситине уникальны, чего стоит один Burp Intruder. В декабре появится версия 1.2 и разработчики, надеюсь, предложат еще более продвинутые средства по пентестингу веб-приложений. Огорчает лишь тот факт, что Burp Intruder не бесплатный (версия Professional стоит 100 фунтов стерлингов).

Советую также почитать книгу от разработчиков данной утилиты #8211; Web Application Hacker Handbook.

Похожие статьи Pentest