Aide-mémoire Burp Suite
Suite Rots propose des outils de tests d'intrusion pour les applications Web. L'ensemble d'outils est disponible en versions gratuites et payantes. Il existe trois éditions. La version gratuite s'appelle Edition communautaire . Cela inclut des outils que vous pouvez utiliser pour tester manuellement les sites Web et les services Web.
Les deux versions payantes de Burp Suite sont les Edition Professionnelle et le Edition pour entreprise . L'édition Enterprise est entièrement automatisée, ce qui correspond à la définition d'un gestionnaire de vulnérabilités. L'édition professionnelle est, comme la version gratuite, destinée à être utilisée lors des tests d'intrusion. Cependant, cette version contient plus d'automatisation que l'édition communautaire.
Dans ce guide, nous examinerons les outils gratuits de l'édition communautaire et comment vous pouvez les utiliser pour vérifier la sécurité de vos sites Web. Il existe de nombreuses attaques contre les entreprises que les pirates peuvent mettre en œuvre en infectant des sites Web. Il existe également plusieurs portes dérobées dans votre serveur Web qui peut permettre aux pirates d'entrer. Le but des outils Burp Suite Community Edition est de vous permettre d'agir comme un pirate informatique et d'essayer d'endommager votre système. Grâce à cette stratégie, vous pouvez identifier les faiblesses de sécurité et les éradiquer avant que les pirates ne les repèrent et ne compromettent votre système.
Tests de pénétration
La différence entre les tests d'intrusion et l'analyse des vulnérabilités est que les tests d'intrusion sont effectués manuellement , alors que l'analyse des vulnérabilités est automatisée . Cependant, les deux stratégies de tests de sécurité recherchent les mêmes problèmes. Ainsi, si vous n’avez pas le temps d’effectuer des tests d’intrusion, vous feriez peut-être mieux d’opter pour un scanner de vulnérabilités.
Les tests d’intrusion en interne peuvent s’avérer inefficaces. En effet, les propriétaires ou gestionnaires de sites Web ne sont généralement pas prêts à aller aussi loin. de vrais pirates informatiques en endommageant leurs systèmes. La stratégie directrice derrière les tests d’intrusion est qu’ils doivent imiter les actions d’un véritable pirate informatique. Un hacker est prêt à aller jusqu'au bout pour briser un objectif, mais les propriétaires sont plus susceptibles d'éviter les tactiques lourdes, préférant excuser les faiblesses plutôt que de les exposer.
Les tests d'intrusion sont plus efficaces s'ils sont effectués par externe , consultants expérimentés. Cependant, ces testeurs professionnels coûtent cher et peu d’entreprises peuvent se permettre leurs services régulièrement. Des contrôles fréquents du potentiel faiblesses de sécurité sont rentables s’ils sont effectués en interne. Cependant, des tests externes périodiques valent la peine d'investir pour vérifier si vos services ont réellement détecté toutes les vulnérabilités.
Édition communautaire Burp Suite
Il n'y a pas beaucoup d'outils inclus dans le Edition communautaire . Cependant, il y en a suffisamment pour que vous puissiez vous familiariser avec le concept de tests de pénétration . Une fois que vous avez établi une stratégie de test, vous souhaiterez peut-être passer au Edition Professionnelle , qui fournit de nombreux autres outils pour les tests manuels ainsi que certains systèmes d'automatisation des tests.
La suite Burp comprend un navigateur Internet , qui est déjà configuré pour les tests. C'est plus facile à utiliser qu'un navigateur classique. Cependant, si vous ne souhaitez pas passer au navigateur inclus, il est possible d’en utiliser un autre. Le navigateur propose un WebSockets proxy, et il conserve l'historique des tests. Le package Community Edition comprend un répéteur, un séquenceur, un décodeur et un comparateur. Il existe également une version démo de Intrus rot dans le paquet.
Configuration système requise pour Burp Suite Community Edition
Le système Burp Suite pour toutes les éditions sera installé sur les fenêtres , macOS , et Linux . Le problème crucial est que l'ordinateur hôte doit avoirJ. Environnement d'exécution ava (JRE) 1.7 ou version ultérieure (édition 64 bits).
L'ordinateur a besoin d'au moins 4 Go de mémoire, mais il est recommandé qu'il dispose de 8 Go, principalement si vous pensez pouvoir passer à l'édition professionnelle. L'ordinateur a également besoin de deux cœurs de processeur. Finalement, l'installation prend 286 Mo d'espace disque .
Installer l'édition communautaire de Burp Suite
Pour exécuter Burp Suite Community Edition sur votre ordinateur, procédez comme suit :
- Allez au Téléchargement de l'édition communautaire Burp Suite page et cliquez sur le bouton Télécharger. Cela vous amène à une autre page.
- Sélectionnez votre système d'exploitation et cliquez sur le bouton Télécharger.
- Cliquez sur le fichier téléchargé pour exécuter le programme d'installation.
- Suivez les instructions de l'assistant de téléchargement, en parcourant chaque page en appuyant sur le bouton Suivant.
Exécution de l’édition communautaire de Burp Suite
L'installation se termine par la création d'une entrée dans votre Commencer menu et une icône sur le bureau. Cliquez sur l'un ou l'autre pour ouvrir le programme. Il vous sera présenté un Termes et conditions déclaration. Cliquez sur J'accepte pour ouvrir l'application.
L'exécution des tests est appelée un projet dans la suite Burp. Vous pouvez uniquement enregistrer un plan de test et l'ouvrir via l'interface Burp Suite avec l'édition Professionnelle. Avec l'édition communautaire, vous exécutez simplement un test à partir de zéro. Cependant, comme vous êtes encore en train d’en apprendre davantage sur le « projets ', il est peu probable que vous ayez enregistré des plans de test de toute façon. Par conséquent, votre seule option dans l'écran d'accueil est le Projet temporaire . appuie sur le Suivant bouton pour commencer.
L'écran suivant vous permet de définir une configuration pour le test. Cette fonctionnalité est délicate avec Community Edition car elle ne chargera que les paramètres liés à un projet et vous ne pourrez pas restaurer un projet à partir d'un fichier. Il est donc préférable de s'en tenir à l'option de Utiliser les valeurs par défaut de Burp . Ensuite, appuyez sur le Commencer le rot bouton pour commencer les tests.
Le système exécute une série de tests, puis ouvre la Burp Suite Tableau de bord , affichant les résultats des tests. Le Activité de problème Le côté du tableau de bord n’est qu’une démo. Vous ne pouvez pas diriger cet utilitaire vers l’un de vos sites. Il montre simplement les problèmes liés aux exemples de sites configurés par Burp Suite à des fins de démonstration. Bref, le Activité de problème la fonctionnalité n’est d’aucune utilité pour ceux qui exécutent le Edition communautaire. Comme il s’agit de la fonctionnalité principale de l’onglet Tableau de bord, vous n’obtiendrez pas beaucoup d’informations utiles sur cette partie de l’interface.
Afficher le trafic Web avec Burp Suite
Le Procuration L'onglet de l'interface Burp Suite est le moteur principal des activités utilisant l'édition communautaire. Il vous permet de voir tout le trafic qui transite entre votre navigateur Web et les serveurs de vos sites de visite.
Il existe des options pour affiner les sites signalés. Cependant, cela ne pose problème que si vous utilisez votre navigateur Web habituel pour les tests. Si vous utilisez le navigateur intégré, vous obtiendrez uniquement des rapports sur le trafic vers ce navigateur. Toute activité que vous effectuez simultanément dans votre navigateur habituel ne sera pas signalée dans Burp Suite. Cette stratégie simplifie considérablement votre gestion des informations dans Burp Suite.
L'onglet Proxy comprend quatre sous-onglets. Ceux-ci sont:
- Intercepter
- Historique HTTP
- Historique de WebSocket
- Possibilités
Ce sont les zones dans lesquelles vous capturez le trafic utilisé dans d'autres sections du service Burp Suite.
Le service d'interception
Lorsque vous cliquez sur le sous-onglet Intercepter, vous verrez quatre boutons. Ceux-ci sont:
- Avant
- Baisse
- L'interception est activée
- Action
- Navigateur ouvert
Le corps de cet écran affiche plusieurs panneaux d'information. Le premier d'entre eux vous encourage à ouvrir le navigateur intégré . Comme le but de cet écran est d’afficher le trafic entre le navigateur et un serveur Web, vous n’obtiendrez rien d’utile tant que vous n’aurez pas ouvert un navigateur et accédé à une page Web. Cliquez sur l'un des deux Navigateur ouvert boutons sur l’écran.
Le Navigateur Burp Suite s'ouvrira dans une nouvelle fenêtre, mais l'écran Intercepter dans la console ne changera pas. Vous devez accéder à une page Web pour faire bouger les choses. Nous pouvons utiliser le site Comparitech comme exemple. C'est sur comparitech.com.
Entrer compritech.com dans la barre de recherche du navigateur – utilisez l’adresse de votre site Web si vous préférez.
Vous ne verrez aucun mouvement dans le navigateur Web. L’indicateur « de travail » tournera lentement. Le système Intercept bloque les conversations de demande et de réponse nécessaires à la création d'une page Web dans un navigateur. Vous devez traverser ces demandes.
Revenez à la console Burp Suite et vous verrez qu'elle a changé. Les panneaux d'information ont disparu et vous verrez à la place la requête envoyée par le navigateur de test au serveur Web. L'étape suivante est bloquée pour vous permettre de examiner cette information.
Il existe des actions que vous pouvez effectuer à ce stade avec les informations de demande affichées à l'écran. Pour voir la liste complète, cliquez sur le Action bouton. Vous saurez que vous pouvez copier les détails de cette demande dans d'autres fonctions du service Burp Suite. Cependant, attendez pour le moment car vous aurez l'occasion de voir à la fois la demande et la réponse dans une autre section du Procuration languette. À l'heure actuelle, vous examinez simplement chaque requête en direct lorsqu'elle est envoyée au serveur Web. Ces étapes sont également enregistrées et vous pourrez toutes les voir dans un tableau ultérieurement.
Évitez d'utiliser le Navigateur ouvert bouton à nouveau – cela ouvrira une autre instance dans une autre fenêtre plutôt que de vous diriger vers le navigateur que vous avez déjà ouvert. Si vous souhaitez revenir au navigateur avec lequel vous travaillez, utilisez les fonctions de votre ordinateur, telles que Alt-TAB , plutôt.
Pour avancer le processus de demande de page, appuyez sur la touche Avant bouton. Cela permet de passer à l’étape suivante. En revenant au navigateur, vous verrez la page Web demandée se charger tandis que vous continuez à parcourir les demandes avec le bouton Suivant.
Lorsque la page Web est entièrement chargée, le panneau principal du Intercepter l'écran sera vide. En effet, vous avez capturé tout le trafic échangé entre le navigateur et le serveur Web pour accéder à la page. Les autres actions que vous effectuez sur la page chargée dans le navigateur seront reflétées dans l'écran d'interception.
Historique HTTP
Le deuxième sous-onglet sous l'onglet Proxy est Historique HTTP . C'est ici que vous pouvez revenir sur les transactions que vous avez effectuées dans le sous-onglet Intercepter.
Clique sur le Historique HTTP sous-onglet. Toutes les transactions sont répertoriées dans un tableau en haut de l'écran. Cliquez sur n'importe quelle ligne pour voir les détails.
La paire Demande/Réponse la plus intéressante que vous puissiez trouver dans ces enregistrements est celle qui réussit identifiants du compte utilisateur . Si vous trouvez une telle ligne, vous pouvez commencer à agir comme un hacker et lancer vos attaques de tests d’intrusion.
Lancer une attaque
Cliquez avec le bouton droit sur une ligne de la liste de l'historique HTTP contenant une publication de connexion. Le menu contextuel devrait apparaître et vous pouvez cliquer sur Envoyer à un intrus pour que ces données soient transférées vers l'un des outils d'attaque.
Dès que vous envoyez des données à l'intrus, le Intrus L'onglet dans la sangle du menu supérieur deviendra rouge. Cliquez sur cet onglet. Les données de la demande que vous avez sélectionnée dans le Historique HTTP l'écran sera déjà là dans le Postes sous-onglet. L'intrus mettra en évidence les données pertinentes en vert. Celles-ci deviendront la charge utile de l’attaque, et les sections mises en évidence sont les « positions » ou fragments d’informations à utiliser dans les tentatives. Le contenu de la demande est en texte brut et non crypté. Ainsi, si vous avez capturé une action de connexion, le processus d'intrusion comme un hacker devrait être assez simple. Il convient toutefois de noter que les tests d’intrusion sont rarement aussi simples.
L'Intruder propose quatre stratégies d'attaque :
- Tireur d'élite – Utilise un ensemble de charges utiles et insère tour à tour chaque valeur dans chaque position. Ceci est utilisé pour le fuzzing, par exemple, vous savez qu'un sujet particulier est nécessaire mais pas dans quel domaine il doit entrer.
- Bélier – Duplique chaque charge utile, place la même valeur dans toutes les positions à la fois, puis essaie la valeur suivante. Ceci est utilisé lorsque la valeur exacte est censée se coordonner à plusieurs endroits dans un formulaire, comme par exemple un nom d'utilisateur requis pour plusieurs entrées et censé être conforme.
- Fourche – Utilise plusieurs charges utiles et vous permet de décider quel ensemble de valeurs utiliser par position. Utile pour parcourir simultanément les valeurs candidates correspondantes pour une plage de champs de saisie.
- Bombe à fragmentation – Utilise plusieurs ensembles de charges utiles avec un ensemble attribué à chaque champ de saisie et utilisant chaque permutation de combinaisons de valeurs pour tous les ensembles. Un grand nombre d'ensembles et un grand nombre de valeurs dans chaque ensemble peuvent rendre cette attaque longue à réaliser.
L’attaque à la bombe à fragmentation est probablement la meilleure stratégie pour deviner les identifiants d’accès. Par exemple, définissez le Type d'attaque champ à Bombe à fragmentation et effacez les positions Burp Suite marquées. Ensuite, parcourez vos données et recherchez un champ de nom d'utilisateur. Mettez-le en surbrillance et cliquez sur le Ajouter bouton. Ensuite, recherchez le champ du mot de passe, mettez-le en surbrillance et appuyez sur le bouton Ajouter bouton.
Passez au Charges utiles sous-onglet. Sélectionner 1 pour le Ensemble de charge utile – cela fait référence au champ du nom d’utilisateur. Le Type de charge utile Le champ comporte de nombreuses options : sélectionnez Liste simple .
Dans le champ de saisie des données en bas de Options de charges utiles panneau. Tapez un nom d'utilisateur typique, tel que administrateur ou invité. appuie sur le Ajouter bouton à côté du champ. Répétez cette opération jusqu'à ce que vous ayez environ six valeurs possibles dans votre liste.
Retourne au Ensemble de charge utile liste déroulante et sélectionnez deux . Ensuite, entrez une liste de mots de passe possibles dans le champ Options de charge utile liste.
Ne mettez pas trop de valeurs dans chaque ensemble pour chaque exécution. Il existe de nombreux noms d'utilisateur et mots de passe possibles que vous voudrez peut-être essayer. Cependant, il est préférable d’exécuter les combinaisons par sections afin d’obtenir des résultats plus rapidement.
appuie sur le Commencer l'attaque bouton.
Le système fonctionnera avec toutes les combinaisons possibles des valeurs dans les deux listes. Vous pouvez regarder chaque tentative dans le Résultats fenêtre qui s'ouvre. Vous saurez si l'une des combinaisons est correcte en regardant le Longueur champ.
La longueur mentionnée dans ce champ est le nombre d'octets dans la réponse. Chaque système a un message différent pour le succès ou l'échec de la connexion. Cependant, vous pouvez être sûr que la plupart de vos tentatives échoueront et auront le même numéro dans le champ Longueur. Cela vous indique le nombre d'octets dans le message de tentative de connexion échouée. Si l'une des tentatives a une valeur différente dans le Longueur champ, ce sera la combinaison correcte de nom d'utilisateur et de mot de passe.
Explorez la suite Burp
Les capacités du Edition communautaire de Burp Suite sont limités. Par exemple, pour tirer le meilleur parti des capacités d'analyse des vulnérabilités du Tableau de bord onglet, vous devez effectuer une mise à niveau vers l'onglet Edition Professionnelle . Cependant, il existe plusieurs stratégies d'attaque manuelle que vous pouvez mettre en œuvre avec Community Edition.
Si vous décidez de passer au Edition Professionnelle , vous pouvez l'obtenir sur un 30 jours d'essai gratuit .
FAQ sur la suite Burp
À quoi sert Burp Suite ?
Burp Suite est un outil de test d'intrusion. Le package est fourni via une application GUI qui fournit une section sur la recherche du système et une autre qui lance des attaques. L'interface copiera les données d'une sonde de recherche directement dans un outil d'attaque. Un plan supérieur de la suite Burp est entièrement automatisé, ce qui en fait un scanner de vulnérabilités.
Les pirates utilisent-ils Burp Suite ?
Burp Suite a été conçu comme un cadre de test d'intrusion. Il permet aux testeurs de pénétrer dans les systèmes. Bien entendu, ces services séduisent également les vrais hackers. L’utilisation de Burp Suite par les hackers montre qu’il reste un outil pointu et bénéfique pour les hackers éthiques. Si les pirates ne l’utilisaient pas, cela indiquerait qu’il existe de meilleurs outils que les testeurs d’intrusion devraient utiliser à la place de Burp Suite.
Burp est-il open source ?
Burp Suite est un système propriétaire et ce n'est pas un projet open source. Il existe une version gratuite de l'outil ainsi que l'édition complète payante.