Funktioner
Nedenfor er en beskrivelse af funktionerne i Burp Suite:
- Scanner: Scanner efter sårbarheder.
- Anvendelsesbevidst edderkop: Brugt til at skære et givet omfang af sider.
- Ubuden gæst: Bruges til at udføre overfald og brutale kræfter på sider på en tilpasningsdygtig måde.
- Repeater: Bruges til at kontrollere og omdirigere alle anmodninger.
- Sequencer: Bruges til at teste sessionstokener.
- Forlænger: Giver dig mulighed for nemt at komponere dine plugins for at få brugerdefineret funktionalitet
- Sammenligner og dekoder: Begge bruges til diverse formål.
Burp Spider
Burp Suite har også en fejl kendt som Burp Spider. Burp Spider er et program, der gennemsøger alle de objektive sider, der er angivet i omfanget. Før du begynder en Burp-bug, skal Burp Suite arrangeres til at indfange HTTP-trafik.
Hvad er indgangstestning til webapplikationer?
Webapplikationstest udfører et digitalt angreb for at samle data om din ramme, opdage svagheder i den og finde ud af, hvordan disse mangler i sidste ende kan kompromittere din applikation eller dit system.
Interface
Som andre værktøjer indeholder Burp Suite rækker, menulinjer og forskellige sæt paneler.
Tabellen nedenfor viser dig de forskellige muligheder, der er beskrevet nedenfor.
- Faner til valg af værktøj og indstillinger: Vælg værktøjer og indstillinger.
- Visning af sitemap: Viser sitemap.
- Anmodningskø: Viser, når der foretages anmodninger.
- Detaljer om anmodning / svar: Viser anmodninger og svar fra serveren.
Spidering af et websted er en vigtig funktion ved udførelse af websikkerhedstest. Dette hjælper med at identificere graden af webapplikation. Som nævnt ovenfor har Burp Suite sin egen edderkop, kaldet Burp Spider, som kan glide ind på et websted. Det inkluderer hovedsageligt fire trin.
Trin
Trin 1: Opret en proxy
Start først Burp Suite og kontroller indstillingerne under Muligheder underfane.
Registrer IP er lokal vært IP og porten er 8080.
Find også for at sikre, at aflytningen er TIL. Åbn Firefox, og gå til Muligheder fanen. Klik på Præferencer, derefter Netværk, derefter Forbindelsesindstillinger, og derefter vælge Manuel proxy-konfiguration udvælgelse.
For at installere proxy kan du installere proxyvælgeren fra Tilføjelser side og klik Præferencer.
Gå til Administrer fuldmægtige og inkludere en anden formidler, der afrunder de relevante data.
Klik på Proxy-vælger knappen øverst til højre, og vælg den proxy, du lige har oprettet.
Trin 2: Få indhold
Når du har konfigureret proxyen, skal du gå til målet ved at indtaste URL'en i placeringslinjen. Du kan se, at siden ikke indlæses. Dette sker, fordi Burp Suite erobrer foreningen.
I Burp Suite kan du se anmodningsindstillinger. Klik fremad for at fremme foreningen. På dette tidspunkt kan du se, at siden er samlet i programmet.
Kommer du tilbage til Burp Suite, kan du se, at alle områder er befolket.
Trin 3: Valg og start af edderkop
Her er målet mutillidae er valgt. Højreklik på mutillidae mål fra sitemap og vælg Edderkop herfra mulighed.
Når edderkoppen begynder, får du en kort detalje som vist i den ledsagende figur. Dette er en login-struktur. Edderkoppen vil være i stand til at gennemgå baseret på den angivne info. Du kan springe denne proces over ved at klikke på knappen 'Ignorer form'.
Trin 4: Manipulering af detaljer
Når bugten løber, træet i mutillidae gren bliver befolket. Ligeledes vises anmodningerne i linjen, og detaljerne er angivet i Anmodning fanen.
Fortsæt videre til forskellige faner og se alle grundlæggende data.
Endelig skal du kontrollere, om edderkoppen er færdig ved at gennemgå fanen Spider.
Dette er de meget væsentlige og begyndende faser af en websikkerhedstest ved hjælp af Burp Suite. Spidering er et betydningsfuldt stykke af rekonstruktionen under testen, og ved at udføre dette kan du bedre forstå konstruktionen af det objektive sted. I kommende instruktionsøvelser vil vi strække dette ud til forskellige værktøjer i sæt enheder i Burp Suite.
Konklusion
Burp Suite kan bruges som en grundlæggende http-formidler til at blokere trafik til efterforskning og afspilning, en webapplikationssikkerhedsscanner, et instrument til at udføre mekaniserede angreb mod en webapplikation, en enhed til at inspicere et helt sted for at genkende angrebsoverfladen og en modul API med mange tilgængelige outsider-tilføjelser. Jeg håber, at denne artikel har hjulpet dig med at lære mere om dette fantastiske pen-testværktøj.