Kaip naudoti „Burp Suite“ įsibrovėlių įrankį, kad patikrintumėte žiniatinklio programas

Kaip naudoti „Burp Suite“ įsibrovėlių įrankį, kad patikrintumėte žiniatinklio programas
Tokie skaitytojai kaip jūs padeda palaikyti MUO. Kai perkate naudodami nuorodas mūsų svetainėje, galime uždirbti filialų komisinius. Skaityti daugiau.

„Burp Suite“ yra galingas pažeidžiamumo skaitytuvas, kurį sukūrė „Portswigger“, naudojamas žiniatinklio programų saugai patikrinti. „Burp Suite“, kuris pateikiamas su tokiais platinimais kaip „Kali“ ir „Parrot“, turi įrankį „Intruder“, kuris leidžia atlikti automatizuotas specialias atakas prieš internetines etiško įsilaužimo programas. „Intruder“ yra lankstus ir konfigūruojamas įrankis, o tai reiškia, kad galite jį naudoti automatizuodami bet kokią užduotį, kuri atsiranda bandant programas.





ką daryti, jei telefonas nulaužtas?
DIENOS VAIZDO ĮRAŠO PAGALBA

Taigi, kaip tai iš tikrųjų veikia?



Taikinio naudojimas „Intruder“.

pasirenkant atakos tipą prieš įsibrovėlį

„Target“, kurią galite pamatyti apsilankę „Burp Suite“ skirtuke „Intruder“, yra informacijos apie tikslinę svetainę arba programą, kurią norite išbandyti. Galite įvesti pagrindinio kompiuterio informaciją ir prievado numerį kaip tikslą skiltyje „Payload Position“.





„Intruder“ skirtuko „Pozicijos“ naudojimas

Skirtuke Pozicijos galite matyti atakų tipus, užklausos šabloną ir parametrų informaciją, kuriai bus taikoma. Toliau pateikiami atakų tipai, kuriuos galite išbandyti naudodami „Burp Suite“.

Snaiperis: Ši parinktis naudoja tik vieną parametrą. Šiuo atveju netiksliniai parametrai neturi įtakos.



Mušimo avinas: Ši parinktis naudoja vieną atakos vektorių visiems tiksliniams parametrams. Tai yra, jei užklausos šablone yra trys tiksliniai parametrai, jis atakuoja visus tris naudodamas tuos pačius atakos vektorius.

Pitchfork: Pasirinkus šią parinktį, visiems tiksliniams parametrams galima naudoti daugiau nei vieną atakos vektorių. Jei manote, kad užklausos šablone yra trys tiksliniai parametrai, pirmoji užklausa būtų pasirinkti ir įdėti pirmąjį pirmojo parametro pirmojo sąrašo elementą; pirmasis antrojo parametro antrojo sąrašo elementas; o trečiojo sąrašo pirmasis elementas – trečiajam parametrui. Antroje užklausoje pasirinktini elementai bus antrasis kiekvieno sąrašo elementas. Galite naudoti šį atakos tipą, kai keliuose tiksliniuose parametruose pateikiate skirtingus vektorius.



Kasetinė bomba: Galite įdarbinti daugiau nei vienas atakos vektorius visiems tiksliniams parametrams naudojant šią parinktį. Skirtumas tarp jo ir „Pitchfork“ parinkties yra tas, kad kasetinė bomba leidžia reguliuoti visus derinių paskirstymus. Ji neatlieka nuoseklių pasirinkimų, kaip tai daro Pitchfork. Išbandžius visus įmanomus tikslinių parametrų derinius, užklausų apkrova gali būti didžiulė. Todėl naudodami šią parinktį turite būti atsargūs.

snaiperio mušamasis avinas pikio šakutė clusterbomb

Ekrane Pozicijos yra keletas kitų naudingų mygtukų. Galite pašalinti bet kurį pasirinktą parametrą naudodami Aišku mygtuką dešinėje. Jei norite taikyti naują, galite naudoti Papildyti mygtukas taip pat dešinėje. Naudoti Automatinis mygtuką, kad automatiškai pasirinktumėte visus laukus arba grįžtumėte į pradinę būseną.



pridėkite aiškius automatinio ir atnaujinimo mygtukus ant įsibrovėlio

Kas yra „Burp Suite“ naudingų krovinių skirtukai?

Pagalvokite apie naudingų krovinių sąrašus, pavyzdžiui, žodžių sąrašus. Galite naudoti Naudingi kroviniai skirtuką, kad nustatytumėte vieną ar daugiau naudingų krovinių sąrašų. Naudingojo krovinio rinkinių skaičius skiriasi priklausomai nuo atakos tipo.

Naudingojo krovinio rinkinį galite apibrėžti vienu ar keliais būdais. Jei turite stiprų žodžių sąrašą, galite importuoti savo žodžių sąrašą pasirinkdami Įkelti mygtuką iš skilties „Payload Options“.

Taip pat galite paruošti atskirus naudingų krovinių rinkinius tiksliniams parametrams. Pavyzdžiui, pirmajam tiksliniam parametrui galite naudoti tik skaitines išraiškas, o antrajam tiksliniam parametrui galite naudoti sudėtingas išraiškas.

naudingos apkrovos parinktys burp suite paprastas sąrašas

Naudingojo krovinio apdorojimas

Galite toliau išplėsti naudingų krovinių rinkinius, sukonfigūruotus per Naudingojo krovinio apdorojimas su taisyklėmis ir koduotėmis. Pvz., galite nurodyti prieš visus naudingus krovinius, juos užkoduoti ir iškoduoti arba praleisti išraiškas, kurios perduoda tam tikras reguliariąsias išraiškas.

Naudingosios apkrovos proceso tikrinimas

Naudingojo krovinio kodavimas

Su Naudingojo krovinio kodavimas , galite nurodyti, kurie simboliai turi būti URL užkoduoti parametruose be problemų perduodant HTTP užklausas į paskirties vietą. URL kodavimas yra konvertuota informacijos versija, kuri gali būti supainiota su adresu. „Burp Suite“ siunčia URL, kad užkoduotų simbolių atitikmenis, pvz., ampersandus (&), žvaigždutes (*) ir kabliataškius bei dvitaškius (atitinkamai ; ir :) pagal numatytuosius nustatymus.

Simbolių kodavimas naudojant „Burp Suite Intruder Payload“ apdorojimą

Kas yra „Intruder“ parinkčių skirtukas?

The Galimybės Skirtuke yra užklausų antraščių, atakų rezultatų, grep atitikčių ir peradresavimų parinktys. Prieš pradėdami nuskaitymą, galite juos pakeisti „Intruder“ sąsajoje.

Užklausų antraštės

ryšio antraštės ir ilgio nustatymas

Užklausų antraštes galite nustatyti naudodami nustatymus lauke „Užklausos antraštės“. Svarbu atkreipti dėmesį į antraštę „Content-Length“: paskirties adresas gali pateikti klaidą, jei turinys nėra tinkamai atnaujintas.

kas yra fono programos atnaujinimas „iPhone“

Jei informacija „Set-Connection“ nenaudojama, ryšys gali likti atviras, taigi, suaktyvinus „Set-Connection“ parinktį, ryšys nutraukiamas. Tačiau operacijas galite atlikti šiek tiek greičiau.

Klaidų tvarkymas

bando dar kartą ir pristabdo po klaidų

Skilties „Klaidų apdorojimas“ nustatymai valdo variklį, naudojamą HTTP užklausoms generuoti įsibrovėlių nuskaitymo metu. Čia galite nustatyti tokius parametrus kaip atakos greitis, sunkumas ir trukmė.

Atakos rezultatai

kokią informaciją „Intruder“ užfiksuoja kibernetinės atakos metu

Skiltyje „Atakos rezultatai“ galite nustatyti, kokia informacija bus nuskaitymo rezultatuose. Šie konfigūracijos nustatymai turi šias parinktis:

  • Parduotuvės užklausos/atsakymai: Šios dvi parinktys skirtos nurodyti, ar reikia išsaugoti užklausų turinį ir nuskaitymo atsakymus.
  • Pateikti nepakeistą pradinę užklausą: Jame yra pagrindinės tikslinių parametrų reikšmės ir sukonfigūruotos nuskaitymo užklausos, todėl galite palyginti nuskaitymo atsakymus.
  • Naudokite atsisakymo teikti paslaugas režimą: Naudodami šią parinktį galite pateikti įprastą nuskaitymo užklausą. Tačiau jis gali staiga išsijungti, kol neatsako iš serverio, nes ši funkcija sukelia tikslinio serverio nuovargį. Štai kodėl jūs turite jį naudoti atsargiai.
  • Parduotuvė pilni naudingi kroviniai: Tai leidžia „Burp Suite“ išsaugoti tikslias kiekvieno rezultato naudingosios apkrovos reikšmes. Jei pasirinksite tai, „Intruder“ užims daugiau vietos.

Grep – degtukas, ištraukimas, naudingos apkrovos

atitikmenų tipų ekstraktas

Norėdami pažymėti rezultatus, kuriuose yra nuskaitymo atsakymuose nurodytų frazių, galite naudoti nustatymus, esančius skyriuose „Grep—Match“, „Grep—Extract“ ir „Grep—Payloads“. „Burp Suite“ pridės patvirtinimo stulpelį prie kiekvieno sukonfigūruoto elemento, nurodydama, ar elementas rastas atsakyme. Pavyzdžiui, slaptažodžių atakose , galite matyti tokius sakinius kaip „neteisingas slaptažodis“ ir „sėkmingas prisijungimas“. „Grep-Match“ skyriaus funkcijos apima:

  • Atitikties tipas: Tai rodo, ar apibrėžtos išraiškos yra reguliarioji išraiška (įprasta išraiška), ar tekstinė išraiška.
  • Didžiųjų ir mažųjų raidžių atitikmuo: Tai nurodo, ar skirti didžiąsias ir mažąsias raides, ar ne.
  • Išskirti HTTP antraštę: Nurodykite ar antraštės eilutės yra atleisti nuo šios operacijos.

Kodėl „Burp Suite“ toks svarbus?

Etiški įsilaužėliai dažnai naudoja „Burp Suite“ klaidų mažinimo operacijoms. Panašiai saugumo tyrėjai, dirbantys įmonių įmonėse, ir skverbties tikrintojai, norintys atlikti interneto programų saugumo testus, taip pat gali pasikliauti „Burp Suite“. Žinoma, yra daug kitų puikių įrankių, kuriuos galite naudoti įsiskverbimo testavimui; Be Burp Suite įvaldę ir kitus tikrinimo įrankius, išsiskirsite.