Burp Suite с самого начала. Делаем первые шаги в веб-пентестинге

Установка

Ска­чай Burp Suite с офи­циаль­ного сай­та PortSwigger. Сущес­тву­ют две основные вер­сии прог­раммы: Community и Professional. Community бес­плат­ная и идет в ком­плек­те со все­ми пен­тестер­ски­ми опе­раци­онны­ми сис­темами. Ее воз­можнос­ти огра­ниче­ны: нап­ример, нет Collaborator, Intruder работа­ет в один поток и не во всех режимах, нет под­дер­жки про­ектов, то есть не получит­ся сох­ранить наработ­ки в один файл.

Вер­сия Professional плат­ная, работа­ет без огра­ниче­ний, сто­ит 499 дол­ларов в год. Есть вари­ант получить три­ал на 30 дней, но пот­ребу­ется кор­поратив­ный поч­товый ящик. Можешь поп­робовать мало­извес­тный поч­товик, но есть веро­ятность, что отка­жут. А можешь заморо­чить­ся: купить дешевый домен и накинуть туда любой лен­динг на инос­тран­ном язы­ке, ими­тиру­ющий неболь­шой биз­нес (впро­чем, даже прос­то любого дешево­го домена, ско­рее все­го, хва­тит).

Еще пот­ребу­ется тек­сто­вое опи­сание того, что имен­но ты хочешь испы­тать в три­аль­ном пери­оде. Напиши что‑нибудь про испы­тание всех воз­можнос­тей прог­раммы, что­бы понять, сто­ит ли при­обре­тать ее или исполь­зовать при­выч­ные тебе инс­тру­мен­ты. Либо о том, что ты хочешь под­готовить­ся к сер­тифика­ции Burp Suite Certified Practitioner.

Бу­ду счи­тать, что ты уже получил три­ал. Говорить о дру­гих спо­собах раз­добыть пол­ную вер­сию не ста­ну, но, если это твой вари­ант, про­верь ее на вирусы (угро­за впол­не реаль­на).

Для тес­тов мы будем исполь­зовать спе­циаль­ное дырявое при­ложе­ние OWASP Juice Shop. Что­бы оно зарабо­тало, уста­нови Node.js, желатель­но 24-ю вер­сию. Пос­ле это­го выпол­ни коман­ды

Ес­ли воз­никли проб­лемы, исполь­зуй Docker:

Что­бы Burp кор­рек­тно видел при­ложе­ние, про­пиши его в файл hosts:

От­крой http://juice.local:3000 и убе­дись, что тес­товое при­ложе­ние работа­ет.

Работа с запросами

В Burp все стро­ится вок­руг зап­росов и отве­тов. Нет зап­роса — нет еди­ницы информа­ции. Есть зап­рос — его мож­но переки­нуть в любой инс­тру­мент, который как‑то вза­имо­дей­ству­ет с тар­гетом: Repeater, Intruder, Scanner, кас­томное рас­ширение.

Клю­чевое в Burp — перех­ват зап­росов/отве­тов и их модифи­кация. Для перех­вата есть две воз­можнос­ти: встро­енный бра­узер Chromium и прок­си‑сер­вер.

Встроенный Chromium

За­пус­ти встро­енный бра­узер с вклад­ки Proxy. До пер­вых зап­росов кноп­ку Open browser можешь най­ти и на вклад­ке Target, пос­ле чего она про­падет.

В окне бра­узе­ра перей­ди на http://127.0.0.1:3000. По мере заг­рузки сай­та на вклад­ке Target выс­тро­ится кар­та сай­та, а на вклад­ке Proxy в HTTP history появит­ся пол­ный спи­сок зап­росов.

Плю­сы работы через встро­енный бра­узер:

• не нуж­но ничего нас­тра­ивать;
• нет лиш­них прог­рамм и рас­ширений;
• ни­каких лиш­них зап­росов — толь­ко свя­зан­ные с тар­гетом.

Ми­нусы:

• в при­выч­ном бра­узе­ре у тебя могут быть удоб­ные рас­ширения;
• за­пус­каешь еще один пожира­тель опе­ратив­ной памяти;
• нет воз­можнос­ти пок­рутить тар­гет в раз­ных вер­сиях бра­узе­ров и на раз­ных движ­ках;
• иног­да бра­узер под­глю­чива­ет и отка­зыва­ется запус­кать­ся.

Прокси-сервер Burp

Пе­ред исполь­зовани­ем прок­си убе­дись, что он запущен. Зай­ди на вклад­ку Proxy, клик­ни Proxy settings. В появив­шемся окне смот­ри Proxy listeners. Если сто­ит галоч­ка рядом с 127.0.0.1:8080, все окей — прок­си запущен. У меня порт 8080 занят, поэто­му галоч­ки нет. Если поп­робую ее уста­новить, Burp попыта­ется запус­тить прок­си‑сер­вер и выдаст ошиб­ку.