<< powrót
Opublikowano Dodaj komentarz

Czym jest Burp Suite i jak go zainstalować

Jak zainstalować Burp Suite

Burp Suite jest narzędziem wykorzystywanym w codziennej pracy przez wielu pentesterów. Nie jest to jedyne tego typu oprogramowanie. Największym konkurentem jest Fiddler, a także OWASP ZAP. Jednak Burp Suite bez wątpienia wiedzie prym. W poradniku tym wytłumaczę do czego służy Burp Suite, a także jak go zainstalować.

UWAGA! Tekst jest skierowany do osób zaczynających swoją przygodę z branżą bezpieczeństwa. Dlatego w poradniku omówię tylko bezpłatną wersję Burp Suite Community Edition. Sądzę, że bezpłatna wersja Burpa w zupełności wystarczy na początek.

Czym jest Burp Suite

Aplikacje webowe do komunikacji z serwerem wykorzystują protokół HTTP. Użytkownik korzystając z aplikacji np. ze strony internetowej, poprzez przeglądarkę wysyła zapytanie do serwera. Ten w odpowiedzi dostarcza wszystkich niezbędnych informacji w postaci np. kodu HTML stanowiącego szkielet strony, kodu PHP odpowiedzialnego za dynamiczne budowanie treści, kodu JavaScript zapewniającego interakcję użytkownika ze stroną, a także kodu CSS, który nadaje całości wygląd i niepowtarzalny styl. Przeglądarka po otrzymaniu tych wszystkich informacji przetwarza je i renderuje stronę. W efekcie użytkownik widzi już końcowy wynik pod postacią gotowej witryny.

Mnogość technologii oraz rozwiązań, a także konieczność napisania wielu linijek kodu sprawia, że twórcy nierzadko popełniają błędy, które skutkują powstaniem luk w bezpieczeństwie aplikacji internetowych. Po za tym prawie zawsze (zwłaszcza w przypadku bardziej rozbudowanych projektów) korzysta się z zewnętrznych rozwiązań napisanych przez inne osoby. Na ten kod nie mamy wpływu, a tam też może znajdować się luka. Dlatego bardzo ważne jest wyłapanie wszelkich niedociągnięć już na etapie produkcji lub potem w działającej aplikacji. Jednak w jaki sposób możemy przeanalizować żądania wysyłane przez przeglądarkę do serwera oraz odpowiedzi wysłane przez serwer do przeglądarki?

Tu właśnie z pomocą przychodzi nam Burp Suite, który stanowi proxy HTTP. Program ten umożliwia przechwytywanie zapytań generowanych przez przeglądarkę oraz ich analizę. Najważniejsze jest to, że pozwala nam dowolnie je modyfikować przed wysłaniem do serwera. Ponadto Burp Suite umożliwia przeglądanie historii żądań, dzięki czemu po pewnym czasie możemy sprawdzić co już testowaliśmy.

Burp Suite jest tworzone i rozwijane przez firmę PortSwigger. Do wyboru mamy trzy wersje oprogramowania: Burp Suite Enterprise Edition, Burp Suite Professional oraz Burp Suite Community Edition.

Czy wiesz że…

Firma Port Swigger udostępnia na swojej stronie laboratoria specjalnie dla osób, które chcą w legalny sposób szlifować swój warsztat pentera. Pamiętaj, że zawsze musisz mieć zgodę na testowanie danej aplikacji. W przeciwnym razie możesz zostać pociągnięty do odpowiedzialności karnej. Na stronie Port Swigger możesz robić to w legalny sposób: https://portswigger.net/web-security

Na stronie możesz testować podatności takie jak: SQL injection, Cross-site scripting, Cross-site request forgery (CSRF), Clickjacking, DOM-based vulnerabilities, Cross-origin resource sharing (CORS), XML external entity (XXE) injection, Server-side request forgery (SSRF), HTTP request smuggling, OS command injection, Server-side template injection,Directory traversal, Access control vulnerabilities,Authentication, WebSockets, Web cache poisoning, Insecure deserialization, Information disclosure, Business logic vulnerabilities, HTTP Host header attacks, OAuth authentication

Skąd pobrać Burp Suite

W poradniku tym pokażę jak zainstalować bezpłatną wersję Burpa, czyli Burp Suite Community Edition.

Pod tym linkiem pobierzesz program. Wybierz swój system operacyjny i kliknij przycisk Download.

Burp Suite Community Edition

Jak zainstalować Burpa

Sama instalacja Burpa jest prosta i szybka. W przykładzie pokazuję zrzuty obrazujące przeprowadzanie instalacji na systemie operacyjnym Windows 10.

Po uruchomieniu instalki w pierwszym oknie kliknij przycisk Next.

Burp Suite Community Edition

W kolejnym oknie możesz zmienić domyślną ścieżkę instalacji. Następnie kliknij przycisk Next.

Burp Suite Community Edition

Jak zainstalować Burp Suite

Burp Suite jest instalowany.

Jak zainstalować Burp Suite

W kolejnym oknie musisz zaakceptować warunki korzystania z programu. W tym miejscu możesz zadecydować, czy chcesz żeby Burp co jakiś czas wysyłał do twórców anonimowe dane na temat użycia programu. Możesz odznaczyć tą opcję.

Jak zainstalować Burp Suite

Po ukończeniu instalacji wyjdź z instalatora klikając Finish.

Jak zainstalować Burp Suite

Uruchamiamy Burpa

Po szybkiej instalacji możesz już uruchomić Burp Suite. Już na wstępie możesz poznać różnicę pomiędzy bezpłatną wersją Community Edition a płatną wersją Burpa.

W bezpłatnej wersji możesz jedynie utworzyć tymczasowy projekt. Niestety nie można zapisywać swoich projektów. Trzeba przyznać, że jest to dość uciążliwe zwłaszcza w sytuacji, gdy pracujesz nad większym projektem, do którego chcesz mieć dostęp na drugi dzień po ponownym uruchomieniu programu.

Na szczęście jest bardzo proste obejście. Wystarczy uruchomić Burp Suite na maszynie wirtualnej np. w programie Oracle VM VirtualBox.

Jak zainstalować Burp Suite

Jeżeli już wcześniej korzystałeś z Burp Suite masz możliwość w tym miejscu wczytania pliku z konfiguracją programu. W tym przykładzie uruchamiamy program ze standardową konfiguracją środowiska pracy.

Jak zainstalować Burp Suite

Instalacja to dopiero początek

Świeżo po zainstalowaniu Burp nie jest jeszcze w pełni gotowy do pracy. W pierwszej kolejnościi należy zainstalować certyfikat, by móc analizować strony łączące się z serwerem poprzez bezpieczny protokół HTTPS.

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments