Burp Suite
編者 資管三C 王海星 資管三C 羅聖明
目錄
1. 何謂 Burp Suite?
2. Burp Suite 功能介紹
3. 參考資料
何謂 Burp Suite?
//簡單介紹、原理、主要特色、應用層面
Burp Suite是一套滲透測試軟體,Burp 譯為打嗝 Suite 譯為套裝,所以他其實是一系列強大滲透軟體所組成的(弱點掃描,暴力破解等等),主要的原理是透過架設一個本機Proxy來去將封包hold住,讓使用者可以去檢視並更改每一個request的網頁封包.
Burp Suite 功能介紹、實作測試
*Burp Proxy:
//內容
*Burp Spider:
//內容
*Burp Web Vulnerability Scanner:
//內容
*Burp Intruder:Burp 入侵工具,簡單來說就是對Web application做自動化(客製化)的攻擊,例如模糊測試Fuzzing(暴力破解、SQL injection、XSS、緩衝區溢位)。
//以下以一個暴力破解來舉例
第一,將Burp Proxy打開,讓設定的proxy可以順利擷取網頁內容
第二,連線到目標網站,點選右鍵選擇(Send to Intruder)並分析目標欄位(使用者欄位、密碼欄位)
第三,選擇攻擊方式
Attack Type 總共有以下四種 Sniper:只能使用一組payload,將清單輪流放入每一個參數,例如選取了兩個參數(user、password),且使用帳號清單(aa、bb)來去測試,這時會先針對第一個參數做一輪的測試(user=aa ,password)(user=bb ,password),然後再對第二個參數做一輪的測試(user,password=aa)(user,password=bb)。總共會有4組測試。
Battering-ram:只能使用一組payload,將清單同時放入每一個參數,例如選取了兩個參數(user、password),且使用帳號清單(aa、bb)來去測試,這時會同時針對兩個參數去放入(user=aa ,password=aa) ,(user=bb ,password=bb)。總共會有2組測試。
Pitchfork:可以使用多組payload,將清單同時放入每一個參數,例如選取了兩個參數(user、password),且使用帳號清單(aa、bb)以及密碼清單(cc、dd、ee)來去測試,這時會同時針對兩個參數去放入(user=aa ,password=cc) ,(user=bb ,password=dd)。總共會有2組測試。
Cluster-bomb:可以使用多組payload,將清單輪流放入每一個參數,例如選取了兩個參數(user、password),且使用帳號清單(aa、bb)以及密碼清單(cc、dd、ee)來去測試,這時會同時針對兩個參數去放入(user=aa ,password=cc) ,(user=aa ,password=dd)。總共會有6組測試。
第四,payload標籤用來放置測試的清單,這裡有多種選擇像是simple list 、number等等
第五,選擇Start Attack
結果就如下(可以注意到length不同的地方):
Burp Repeater:主要用來手動調整以及補發單獨的HTTP requests,並且分析回應
*Burp Sequencer:主要用來分析一些具有安全性保護的token(像是Session ID)其隨機性的程度,以測試是否該application 的session id隨意被猜測到機率。
第一,先去選定目標網站選擇 send to sequencer
第二,選擇你要去測試的token然後選擇start
*Burp Decoder:多功能的encode 與 decode可以接受的包括(URL HTML Base64 MD5等等)
*Burp Comparer:主要用來比較兩個網站的差別,讓在兩個相似的網頁上明確點出不一樣的地方
*Burp Extender:主要用途是為了擴充BurpSuite,使用自己的程式,或是第三方程式來擴展BurpSuite應用。
參考資料
Introduction to Burp-Suite Intruder Modes Sniper, Battering-ram, Pitchfork, Cluster-bomb https://www.youtube.com/watch?v=2Ehp33BLRmI
https://portswigger.net/burp/help/intruder_positions.html#attacktype