Руководство по Burp Suite

Перевод: английский - русский - www.onlinedoctranslator.
com
Полный
Путеводитель по
Люкс «Отрыжка»
Научитесь обнаруживать приложения
Уязвимости
—
Сагар Рахалкар
Полное руководство по
Научитесь обнаруживать приложения
Уязвимости
Полное руководство по Burp Suite
Пуна, Махараштра, Индия
ISBN-13 (пбк): 978-1-4842-6401-0 https:// ISBN-13 (электронный): 978-1-4842-6402-7

doi.org/10.1007/978-1-4842-6402-7
Copyright © 2021 Сагар Рахалкар

Эта работа является объектом авторского права. Все права сохраняются за Издателем, будь то весь материал или его часть, в
частности права на перевод, перепечатку, повторное использование иллюстраций, декламацию, трансляцию,
воспроизведение на микрофильмах или любым другим физическим способом, а также на передачу или хранение
информации. поиск, электронная адаптация, компьютерное программное обеспечение или аналогичная или отличающаяся
методология, известная в настоящее время или разработанная в будущем.
В этой книге могут быть использованы названия торговых марок, логотипы и изображения. Вместо того, чтобы использовать символ
товарного знака при каждом появлении имени, логотипа или изображения, зарегистрированного как товарный знак, мы используем
имена, логотипы и изображения только в редакционных целях и в интересах владельца товарного знака, без намерения нарушить
права на товарный знак.
Использование в данной публикации торговых наименований, товарных знаков, знаков обслуживания и аналогичных
терминов, даже если они не идентифицированы как таковые, не должно рассматриваться как выражение мнения о том,
являются ли они объектом прав собственности.
Хотя советы и информация, содержащиеся в этой книге, считаются верными и точными на дату публикации, ни
авторы, ни редакторы, ни издатель не несут никакой юридической ответственности за любые ошибки или
упущения, которые могут быть допущены. Издатель не дает никаких гарантий, явных или подразумеваемых, в
отношении материалов, содержащихся здесь.
Управляющий директор, Apress Media LLC: Велмоед Шпар

Редактор отдела закупок: Дивья Моди
Редактор разработки: Лаура Берендсон
Редактор-координатор: Дивья Моди
Обложка разработана eStudioCalamar
Изображение на обложке разработано Pixabay
Распространяется в книжной торговле по всему миру компанией Springer Science+Business Media New York,
1 New York Plaza, Suite 4600, Нью-Йорк, NY 10004-1562, США. Телефон 1-800-SPRINGER, факс (201) 348-4505,
электронная почта для заказов-ny@springer-sbm.com или посетите сайт www.springeronline.com. Apress Media, LLC
является калифорнийским ООО, а единственным участником (владельцем) является Springer Science + Business
Media Finance Inc (SSBM Finance Inc). SSBM Finance Inc — корпорация штата Делавэр.
За информацией о переводах обращайтесь по электронной почте booktranslations@springernature.com ; для перепечатки, мягкой
обложки или прав на аудио, пожалуйста, по электронной почте bookpermissions@springernature.com.
Названия Apress можно приобрести оптом для академического, корпоративного или рекламного использования. Версии электронных
книг и лицензии также доступны для большинства названий. Для получения дополнительной информации посетите нашу веб-страницу
массовых продаж печатных и электронных книг по адресу http://www.apress.com/bulk-sales.
Любой исходный код или другие дополнительные материалы, на которые ссылается автор в этой книге, доступны
читателям на GitHub через страницу продукта, расположенную по адресу www.apress.com/978-1-4842-6401-0. Для
получения более подробной информации посетите http://www.apress.com/source-code.
Напечатано на бескислотной бумаге.

Оглавление
Об авторе ��
О техническом рецензенте ��
Введение ��
Глава 1: Введение в Burp Suite �� 1
Некоторые основы безопасности приложений ��
Краткое введение в Burp Suite ��
Потребность в Burp Suite ��
Издания ��
Альтернативы Burp Suite ��
Обзор функций высокого уровня ��
Резюме ��
Упражнения ��
Глава 2: Настройка среды �� №11
Установка Burp Suite ��
Настройка уязвимого целевого веб-приложения �� 14
Настройка браузера ��
Firefox ��
Хром ��
Край ��
Опера ��
III
Резюме ��
Глава 3. Прокси-сервер, параметры пользователя и параметры проекта ................................................................................................................27
Прокси ��
Сертификат ЦС Burp Suite ��
Аутентификация платформы, прокси-серверы вышестоящего уровня, прокси-сервер SOCKS ��33
Аутентификация платформы ��
Верхние прокси-серверы ��
SOCKS-прокси ��
Горячие клавиши ��
Резервные копии проектов ��
API для отдыха ��
Отзыв о производительности ��
Варианты проекта ��
Тайм-ауты ��
Разрешения имени хоста ��
Запросы вне области действия ��
Перенаправления ��
Банка для печенья ��
Макросы ��
Резюме ��
IV
Глава 4. Инструментальная панель, целевые объекты и взаимодействие ............................................................................................................ 49
Панель управления ��
Вкладка «Цель» ��
Инструменты взаимодействия ��
Резюме ��
Глава 5: Злоумышленник ��
Введение в Intruder ��
Вкладка «Цель» ��
Должности ��
Полезная нагрузка ��
Опции ��
Резюме ��
Глава 6. Ретранслятор, компаратор, декодер и секвенсор ............................................................................................................ 79
Повторитель ��
Сравнитель ��
Декодер ��
Секвенсор��
Резюме ��
в
Глава 7. Infiltrator, Collaborator, Clickbandit и CSRF PoC-генератор ................................
�� 95
Инфильтратор ��
Соавтор ��
Кликбандит ��
CSRF ��
Резюме ��
Глава 8: Сканер и отчеты �� 111
Типы сканирования ��
Сканирование и аудит ��
Конфигурация сканирования ��
Вход в приложение ��
Пулы ресурсов ��
Отчетность ��
Резюме ��
Глава 9: Расширение Burp Suite ��
Расширения Burp Suite ��
BApp Store ��
Ручная установка ��
Настройки ��
Другие полезные расширения ��
API ��
ви
Резюме ��
Глава 10. Тестирование мобильных приложений и API-интерфейсов с помощью Burp Suite ................................147
Тестирование безопасности API с помощью Burp Suite ��
Тестирование безопасности мобильных приложений с помощью Burp Suite ��
Рабочий процесс тестирования безопасности с помощью Burp Suite ��
Резюме ��
Индекс ��
VII
об авторе
Сагар Рахалкарявляется опытным специалистом по информационной безопасности с более чем
13-летним опытом работы в различных вертикалях информационной безопасности.
Его область знаний в основном связана с AppsSec, расследованиями
киберпреступлений, оценкой уязвимостей, тестированием на проникновение и IT
GRC. Он имеет степень магистра компьютерных наук и несколько признанных в
отрасли сертификатов, таких как CISM, ISO 27001LA и ECSA. Более трех лет он тесно
сотрудничал с правоохранительными органами Индии, занимаясь расследованиями
цифровых преступлений и соответствующей подготовкой, и получил награды от
старших должностных лиц полиции и оборонных организаций Индии. Он также
является автором и рецензентом нескольких публикаций.
икс
О техническом рецензенте
Параг Патил(www.linkedin.com/in/paragpatil2006) —
специалист по информационной безопасности, в
настоящее время связанный с Coupa Management
Security для платформы SaaS.
Более 12 лет Параг много работал в области
цифровой криминалистики, IAM, мониторинга
безопасности/SecOps, тренингов по безопасности,
аудита соответствия требованиям безопасности,
управления уязвимостями, проникновения.
тестирование, исследование информационной безопасности и СМИБ/управление.
Он является автором тестов CIS для AWS, Azure и GCP.
Благодарность рецензента: Спасибо моим наставникам (Даттатраю Бхату,
Йогешу Патилу, Стиву О'Каллагану, Шайлешу Атли и Хансу Густавсону), которые
верили в меня и предоставили все возможные возможности для обучения и
профессионального роста в области информационной безопасности.
Спасибо Махешу Навагане, Сагару Рахалкару (автору этой книги), Адити

Сахасрабуддхе (моей сестре), Монике (моей жене) и Ире (моей дочери) за их
стремление сделать меня, возможно, самым счастливым человеком, которого я
когда-либо знал.
xi
Введение
Количество приложений растет, как и количество уязвимостей приложений. Предприятия
сместили акцент на обеспечение безопасности приложений. Несмотря на то, что существует
множество решений и продуктов для обеспечения безопасности приложений, Burp Suite
действительно является предпочтительным инструментом для многих.
Burp Suite — это простой, но мощный инструмент, используемый для тестирования
безопасности приложений. Он широко используется для ручного тестирования
безопасности не только веб-приложений, но и API-интерфейсов и мобильных приложений.
Для эффективного тестирования безопасности веб-приложений необходимо понимать
различные уязвимости веб-приложений; в то же время необходимо также иметь глубокое
понимание инструментов, используемых для тестирования. Эта книга поможет вам
всесторонне понять Burp Suite, чтобы ее можно было использовать именно для
обнаружения уязвимостей.
Книга начинается с основ Burp Suite и рассказывает о настройке среды
тестирования. Следующие главы охватывают основные строительные блоки Burp Suite
и подробно знакомят вас с различными его компонентами, такими как нарушитель,
повторитель, декодер, компаратор, секвенсор и т. д. В последних главах мы
рассмотрим другие полезные функции, такие как инфильтратор, соавтор, сканер,
расширитель и использование Burp Suite для тестирования безопасности API и
мобильных приложений.
xiii
ГЛАВА 1
Введение в
Безопасность приложений сильно изменилась за последнее десятилетие или около того.
Десять лет назад найти SQL-инъекции в приложениях было проще, чем сегодня.
Приложения были более подвержены уязвимостям, поскольку у разработчиков было
меньше средств защиты и меньше осведомленности. Однако сегодня ситуация резко
изменилась. Разработчики гораздо лучше осведомлены и осведомлены о безопасности, а
элементы управления безопасностью размещаются на протяжении всего жизненного цикла
разработки программного обеспечения (SDLC), что делает конечное приложение
относительно безопасным.
Хотя процессы разработки стали более безопасными, сегодняшние приложения
не ограничиваются только Интернетом. Современные приложения имеют открытые
сервисы и интерфейсы прикладного программирования (API), а также мобильное и
облачное присутствие. Это явно увеличивает сложности и поверхности атаки.
Для тестировщика безопасности приложений жизненно важно найти все
возможные уязвимости во всей экосистеме приложений.
Некоторые основы безопасности приложений
Подробное рассмотрение безопасности приложений и различных уязвимостей

выходит за рамки этой книги. В этой книге мы сосредоточимся на том, как
наиболее эффективно использовать инструмент Burp Suite.
© Сагар Рахалкар 2021 1

С. Рахалкар,Полное руководство по Burp Suite,
https://doi.org/10.1007/978-1-4842-6402-7_1
Глава 1. Введение в Burp Suite
Тем не менее, мы быстро рассмотрим, каковы распространенные и основные

уязвимости приложений. Стандартом де-факто, на который ссылаются в отношении
уязвимостей приложений, является OWASP. OWASP расшифровывается как Open
Web Application Security Project. Последний список Топ-10 уязвимостей веб-
приложений был опубликован в 2017 году. Уязвимости следующие:
1.Инъекция –Сюда входят уязвимости, которые используются путем
отправки ненадежных входных данных интерпретатору как части
запроса или команды. Специально созданные приемы ввода — это то,
что интерпретатор использует при выполнении команд или даже при
предоставлении несанкционированного доступа к данным. Наиболее
распространенным типом внедрения является внедрение в базу
данных. Другие типы включают внедрение команд операционной
системы (ОС) или внедрение LDAP и т. д.
2.Сломанная аутентификация -Сюда входят уязвимости,

возникающие из-за плохой реализации функций
аутентификации и управления сеансами. Использование
таких уязвимостей может дать злоумышленникам доступ к
паролям, учетным данным, токенам сеанса, ключам и т. д.
3.Разглашение конфиденциальных данных —Во многих случаях в приложениях
отсутствуют элементы управления для защиты конфиденциальных
пользовательских данных, таких как личная информация (PII), данные о
здоровье или даже финансовые данные. Злоумышленники могут украсть такие
конфиденциальные данные. Отсутствие шифрования данных в состоянии
покоя и при передаче является причиной большинства уязвимостей,
связанных с раскрытием конфиденциальных данных.
4.Внешние объекты XML –Это особый тип уязвимости, при котором
злоумышленник использует тег объекта в документах XML для
запуска нескольких атак, таких как раскрытие
конфиденциальных внутренних файлов, отказ в обслуживании,
удаленное выполнение кода и т. д.
2
5.Сломанный контроль доступа –Даже если пользователь прошел проверку
подлинности с действительными учетными данными, может не потребоваться
доступ ко всему приложению. Авторизация определяет, к чему может получить
доступ аутентифицированный пользователь. Нарушенная авторизация дает
злоумышленнику несанкционированный доступ для просмотра других учетных
записей пользователей, конфиденциальных файлов или даже для изменения
данных других пользователей.
6.Неправильная конфигурация безопасности —Проблемы с неправильной
настройкой безопасности наиболее распространены в базовой
инфраструктуре, такой как веб-серверы. Небезопасные конфигурации,
учетные данные по умолчанию, файлы резервных копий без ссылок,
нежелательные службы, открытое облачное хранилище, отсутствующие
заголовки безопасности и флаги файлов cookie, а также отсутствующие
исправления безопасности — все это относится к категории неправильной
настройки безопасности.
7.Межсайтовый скриптинг —Это действительно классическая
уязвимость веб-приложений, которая так долго была частью
списка OWASP. Обычно это происходит, когда злоумышленник
может внедрить и выполнить сценарий через поле ввода
приложения. Эта атака может использоваться для перехвата
пользовательских сеансов путем кражи файлов cookie, порчи
веб-сайтов и т. д. Распространенными типами межсайтового
скриптинга являются постоянные, отраженные и основанные на
DOM.
8.Небезопасная десериализация —Злоумышленники могут
манипулировать процессом сериализации и десериализации
объектов, чтобы ввести вредоносную полезную нагрузку,
приводящую к выполнению кода.
3
9.Использование компонентов с известными уязвимостями
– Разработчики очень часто импортируют и используют
сторонний код, чтобы не изобретать велосипед. Однако
иногда сторонний код содержит присущие ему уязвимости.
В качестве примера можно привести использование
библиотеки OpenSSL, которая уязвима для атаки Heart Bleed.
10.Недостаточное ведение журнала и мониторинг –Довольно часто в
приложениях отсутствуют возможности логирования событий,
которые помогли бы в случае инцидента. При отсутствии
возможностей ведения журнала аудита и обнаружения
злоумышленники могут просто продолжать проникновение, не
будучи обнаруженными и не поднимая тревогу.
Хотя список OWASP Top 10, вероятно, является первым местом для поиска
уязвимостей веб-приложений, есть много потенциальных уязвимостей помимо этого
списка Top 10. Ниже приведены некоторые из настоятельно рекомендуемых ссылок, чтобы
получить более широкое представление о тестировании безопасности приложений:
1.Руководство по тестированию OWASP –Это руководство
представляет собой исчерпывающий ресурс, охватывающий
множество примеров тестирования безопасности, а также очень
удобный справочный материал. Он доступен по адресуhttps://
owasp.org/www-projectweb-security-testing-guide/assets/archive/
OWASP_Testing_Guide_v4.pdf
2.25 основных ошибок программирования SANS –Помимо
списка OWASP Top 10, SANS опубликовал список из 25
самых опасных ошибок программирования.
Он доступен по адресуhttps://www.sans.org/top25-
программные-ошибки
4
3.Топ-10 API OWASP –Интерфейсы прикладного
программирования (API) очень широко используются в
наши дни и имеют некоторые уникальные уязвимости.
OWASP опубликовал специальный список 10 основных
уязвимостей API, который доступен по адресуhttps://
owasp.org/wwwproject-api-security/
4.10 лучших мобильных устройств OWASP –Мобильные
приложения имеют разные наборы уязвимостей, а некоторые
даже различаются в зависимости от типа платформы. Тем не
менее, самые распространенные и популярные мобильные
уязвимости доступны по адресуhttps://owasp.org/www-
projectmobile-top-10/
5.Топ-10 Интернета вещей OWASP –Сегодня даже бытовые
устройства становятся умнее и подключеннее. Такой
Интернет вещей (устройства IoT) подвержен многим
уязвимостям. OWASP опубликовал список 10 основных
уязвимостей IoT, доступный по адресуhttps://owasp.org/
www-проект-интернет-из-вещей/
Краткое введение в Burp Suite

Рождение Burp Suite восходит к 2004 году, когда Дафидд Штуттард оценил потребность в
надежном инструменте для тестирования безопасности веб-приложений. За последние 16 лет
инструмент стремительно развивался и добавил множество возможностей, которые приносят
пользу сообществу тестировщиков безопасности. Burp Suite, несомненно, стал предпочтительным
инструментом для тестирования безопасности веб-приложений. Кроме того, он эволюционировал
таким образом, что теперь его можно использовать для поиска уязвимостей в API и мобильных
приложениях.
5
Потребность в Burp Suite
Сегодня рынок средств сканирования и тестирования безопасности приложений быстро
растет. Существует так много доступных инструментов, как коммерческих, так и бесплатных,
от разных поставщиков, поддерживающих различные технологии и функции. Большинство
этих инструментов склонны к автоматическому сканированию программного обеспечения
для поиска уязвимостей. Это достигается либо запуском сканера после сканирования или
сканирования целевого приложения, либо интеграцией сканера непосредственно в цикл
DevOps. Хотя это, безусловно, является преимуществом и повышает эффективность
сканирования при минимальном ручном вмешательстве, существуют определенные
уязвимости, которые можно лучше понять и использовать с помощью ручного
тестирования.
Ручное тестирование во многом зависит от двух факторов: навыков тестировщика и
инструмента, используемого для тестирования. Такой инструмент, как Burp Suite, значительно
помогает удовлетворить потребности ручного тестирования с точки зрения инструментов. Он
предоставляет мощную и гибкую платформу, на которой тестер может эффективно находить и
использовать потенциальные уязвимости. Таким образом, для сканирования и тестирования
безопасности приложений наилучшей стратегией будет использование комбинации как
автоматического, так и ручного тестирования. Burp Suite имеет отличные возможности ручного
тестирования наряду с автоматическим сканером. Таким образом, это дает тестировщику
преимущества ручного тестирования, а также автоматического сканирования уязвимостей.
Издания
Как и большинство других инструментов, Burp Suite поставляется в разных формах. У разных
пользователей могут быть разные потребности, и один размер может не подойти всем. Принимая во
внимание различные потребности пользователей, Burp Suite поставляется в трех разных версиях.
6
1.Burp Suite Community Edition –Burp Suite Community Edition — это самая
базовая версия, которую можно загрузить и использовать бесплатно.
Он поставляется с ограниченным набором инструментов и функций
для начала тестирования безопасности веб-приложений. Если вы
новичок в безопасности приложений и хотите изучить основы, то
Burp Suite Community Edition, безусловно, является очень хорошей
отправной точкой. У него есть хорошие инструменты и функции,
необходимые для базового ручного тестирования безопасности веб-
приложений, такие как прокси-сервер перехвата, запросы на
вмешательство и ретрансляцию с использованием повторителя,
кодирование и декодирование данных и т. д.
2.Burp Suite Professional Edition –Если вы очень

хорошо разбираетесь в безопасности веб-
приложений и регулярно тестируете приложения
в рамках своей профессии, тогда
Burp Suite Professional Edition определенно рекомендуется. Burp
Suite Professional Edition включает в себя множество
расширенных функций, которые значительно улучшают вашу
способность находить потенциальные уязвимости в
приложениях. Это наиболее подходящая версия для отдельных
профессионалов, которым нужны отличные возможности
ручного и автоматизированного тестирования безопасности.
Некоторые из расширенных функций включают следующее:
• Тестирование внешних уязвимостей
• Расширенные возможности грубой силы и фаззинга
• Быстрое создание эксплойтов для CSRF,

Clickjacking и т. д.
7
• Автоматическое сканирование на наличие уязвимостей
• Полезные расширения для дальнейшего расширения возможностей
Более подробную информацию о Burp Suite Professional Edition можно

найти здесь -https://portswigger.net/burp/pro
3.Burp Suite Enterprise Edition –В то время как Burp Suite
Community Edition и Burp Suite Professional Edition были
предназначены для отдельных профессионалов, Burp
Suite Enterprise Edition полезен для организаций,
стремящихся интегрировать сканирование безопасности
в конвейеры программного обеспечения. В отличие от
предыдущих выпусков, в нем нет инструментов ручного
тестирования. Этот выпуск рекомендуется для
предприятий, которым нужны решения DevSecOps.
В рамках этой книги мы расскажем о Burp Suite Professional

Edition.
Альтернативы Burp Suite

Мы уже обсуждали, что рынок инструментов сканирования безопасности приложений в значительной
степени растет. Хотя Burp Suite удовлетворяет большинство потребностей в ручном и автоматизированном
тестировании, с ним конкурируют некоторые другие инструменты, такие как показанные в таблице.1-1.
8
Глава 1 ВВЕДЕНИЕ В BURP SUITE
Таблица 1-1.Инструменты сканирования
Коммерческий Бесплатно / с открытым исходным кодом
акунетикс oWaSp Zap
сетевой спаркер W3af

Сканирование приложений IBM арахни
ВебИнспект Железная оса
Дополнительную информацию и сравнительный анализ различных инструментов
тестирования безопасности приложений можно найти по адресуhttps://
www.gartner.com/reviews/market/application-security-testing
Обзор функций высокого уровня

Burp Suite Professional Edition поставляется с широким набором функций для ручного
тестирования на проникновение, а также для автоматического сканирования. Некоторые из
полезных функций включают следующее:
1.Ручное тестирование на проникновение –Перехват и подделка
запросов (HTTP/HTTPS), ручное тестирование на внеполосные
уязвимости, тестирование веб-сокетов, тестирование надежности
токена, легкое тестирование уязвимостей кликджекинга и
межсайтовой подделки запросов (CSRF).
2.Расширенные автоматизированные атаки –Пассивное и активное
сканирование для поиска потенциальных уязвимостей,
расширенные возможности для грубой силы и фаззинга.
3.Производительность –Подробный анализ сообщений, эффективные
параметры проекта, инструменты для повышения читабельности кода,
легкое и простое создание отчетов об уязвимостях.
9
4.Расширения –Магазин приложений Burp Suite для установки
расширений, значительно расширяющих возможности
существующего инструмента.
Мы рассмотрим вышеперечисленные функции более подробно по ходу

чтения книги.
Резюме
Мы начали эту главу с объяснения того, как развивалась безопасность приложений
за последнее десятилетие или около того. Затем мы рассмотрели некоторые из
основных уязвимостей веб-приложений. Затем мы попытались понять
необходимость такого инструмента, как Burp Suite, а также его версий и
альтернатив. Наконец, мы завершили обзор функций, предоставляемых Burp Suite
Professional.
В следующей главе мы начнем с установки и настройки

инструмента.
Упражнения
• Подробно ознакомьтесь с 10 основными уязвимостями OWASP и
Руководством по тестированию OWASP.
• Подробнее о возможностях всех редакций Burp

Suite читайте на официальном сайте -https://
portswigger.net/
10
ГЛАВА 2
Настройка
Окружающая среда
В последней главе мы обсудили некоторые основы безопасности приложений

и потребность в таких инструментах, как Burp Suite. В этой главе мы начнем с
настройки нашей среды для Burp Suite.
Установка Burp Suite

Прежде чем мы попытаемся установить или запустить Burp Suite, нам необходимо
убедиться, что в системе установлена Java. Это обязательное условие для запуска Burp
Suite. В системе Windows вы можете просто открыть командную строку и ввести
команду «java –version», чтобы проверить, установлена ли Java, как показано на
рисунке.2-1.
Рисунок 2-1.Проверьте, установлена ли Java

https://doi.org/10.1007/978-1-4842-6402-7_2
Глава 2 Настройка среды
Если в вашей системе не установлена Java, вы можете загрузить

и установить Java сhttps://www.oracle.com/java/technologies/javasejre8-
downloads.html
Как только мы убедимся, что Java установлена в нашей системе, мы можем
приступить к работе с Burp Suite. Сначала нам нужно скачать Burp Suite с https://
portswigger.net/burp/releases/community/latestкак показано на рисунке2-2.
Рисунок 2-2.Типы загрузок Burp Suite
Вы заметите, что существует несколько форм загрузки Burp Suite. Существуют
отдельные установщики для Linux, Mac OSX и Windows. Также есть возможность
загрузить файл JAR, который можно использовать напрямую для запуска Burp Suite без
установки. Загрузка файла JAR — самый простой способ начать работу. Если вы решите
загрузить установщик, он ничем не отличается от любого другого установщика
программного обеспечения и устанавливает Burp Suite за несколько кликов. Однако в
обоих случаях необходимо установить Java. После загрузки файла JAR вы можете просто
дважды щелкнуть его, чтобы запустить Burp Suite.
12
Иногда при запуске больших проектов может случиться так, что Burp Suite не
хватает памяти. Чтобы решить эту проблему, можно запустить Burp Suite,
выделив фиксированный объем памяти при запуске. Это гарантирует, что после
запуска не закончится память. Это можно сделать с помощью команды "java -jar
-Xmx2G /путь/к/burp.jar"где 2G означает 2 ГБ памяти. Этот шаг совершенно
необязателен. Мы можем пропустить это и напрямую выполнить файл JAR, чтобы
запустить Burp Suite с конфигурацией по умолчанию.
Если все предварительные условия выполнены правильно, мы получаем экран запуска, как
показано на рисунке.2-3.
Рисунок 2-3.Стартовый экран Burp Suite
13
Настройка уязвимого целевого веб-

приложения
Пока мы настраиваем Burp Suite в нашей системе, важно иметь целевое приложение, в
котором вы будете использовать этот инструмент. Если вы являетесь профессионалом,
занимающимся тестированием безопасности приложений и тестированием на
проникновение, вам будет разрешено использовать Burp Suite в тестируемом
приложении. Однако, если вы только начинаете изучать Burp Suite, вам понадобится
какое-то целевое приложение, на котором вы сможете проверить свои навыки.
Помните, что запуск Burp Suite в приложении, в котором вы не авторизованы, может
вызвать проблемы с законом. Таким образом, с точки зрения обучения важно
попробовать свои навыки работы с Burp Suite только в тестовом приложении.
Существует несколько доступных альтернатив, как показано ниже:
1.Настройте магазин соков OWASP локально –OWASP Juice Shop
— это современное веб-приложение, которое намеренно
сделано уязвимым. Это может стать отличной отправной
точкой. Самый простой способ настроить OWASP Juice Shop и
запустить его — использовать образ докера. Образ докера
доступен по адресу https://hub.docker.com/r/bkimminich/
juiceshop. Вы можете просто вытащить образ и запустить его
в движке докера на любой платформе (Windows/Linux/
MacOS).
2.Попробуйте онлайн-версию магазина соков OWASP –

Новичкам всегда рекомендуется создать собственную
копию Juice Shop; однако, если вы хотите быстро
опробовать его перед настройкой, вы можете
попробовать онлайн-версию наhttps://juice-
shop.herokuapp. ком/#/
14
3.Чертовски уязвимое веб-приложение (DVWA) – Еще одно
замечательное приложение, которое было намеренно сделано
уязвимым для тестирования, — это DVWA. Вы можете быстро
настроить DVWA с помощью докера или на локальном веб-
сервере. Подробные инструкции по настройке и использованию
DVWA доступны по адресуhttps://гитхаб. com/ethicalhack3r/DVWA
4.Чертовски уязвимые веб-сервисы —OWASP

Juice Shop и DVWA будет достаточно для
изучения уязвимостей веб-приложений.
Однако, если вы хотите более подробно изучить
уязвимости в веб-сервисах, то Damn Vulnerable Web
Services — хороший вариант. Более подробную
информацию о настройке и использовании можно найти
наhttps://github.com/snoopysecurity/dvws
Настройка браузера
Теперь, когда у нас запущен и работает Burp Suite, нам нужно настроить наш
браузер для работы с ним. Сначала давайте рассмотрим обычный сценарий без
Burp Suite на картинке, как показано на рисунке.2-4.
Рисунок 2-4.Пользователь получает доступ к веб-сайту напрямую без Burp Suite.
15
Ссылаясь на изображение выше, на очень высоком уровне и простыми словами
происходит следующая последовательность событий:
1. Конечный пользователь открывает любой браузер по своему выбору.
2. Затем пользователь вводит URL-адрес веб-сайта, который он/она
хочет просмотреть.
3. Браузер обрабатывает URL-адрес веб-сайта и

отображает веб-сайт для пользователя (в фоновом
режиме происходит серия запросов и ответов).
Теперь давайте рассмотрим другой сценарий, в котором мы настроили Burp Suite
с помощью браузера, как показано на рисунке.2-5.
Рисунок 2-5.Пользователь заходит на веб-сайт с помощью Burp Suite
Ссылаясь на изображение выше, на очень высоком уровне и простыми словами
происходит следующая последовательность событий:
1. Конечный пользователь открывает любой браузер по своему выбору.
2. Затем пользователь вводит URL-адрес веб-сайта, который он/она
хочет просмотреть.
3. Браузер перенаправляет запрос в Burp Suite, который

затем перенаправляет запрос на целевой веб-сайт.
4. Целевой веб-сайт отвечает на запрос и

отправляет ответ обратно в Burp Suite, который
затем передает ответ для отображения в
браузере.
16
Таким образом, в этом сценарии Burp Suite действует как «посредник» между
браузером и целевым веб-сайтом. Burp Suite способен перехватывать и подделывать
весь проходящий через него трафик.
Теперь мы посмотрим, как мы можем настроить самые популярные браузеры для
работы с Burp Suite.
Fire Fox
Для настройки Firefox с Burp Suite:

Перейдите в Инструменты - Параметры, как показано на рисунке.2-6.
Рисунок 2-6.Навигация по инструментам-Меню опций в Firefox
В поле поиска введите ключевое слово «сеть», как показано на рисунке.2-7 и
нажмите «Настройки».
17
Рисунок 2-7.Поиск «Настройки сети» в настройках Firefox
Выберите «Ручная настройка прокси», как показано на рисунке.2-8и

введите IP как 127.0.0.1 (или localhost) и порт как 8080.
Примечание. По умолчанию прокси-сервер Burp Suite прослушивает порт
8080. Это можно настроить, и мы увидим это в следующей главе. Однако один и
тот же номер порта должен быть введен как в браузере, так и в Burp Suite, если вы
хотите его изменить.
Рисунок 2-8.Настройка ручной настройки прокси
18
Просто нажмите «ОК» после настройки параметров прокси.
Хром
Для настройки Chrome с Burp Suite:
Нажмите на три вертикальные точки в правом углу и выберите «Настройки»,
как показано на рисунке.2-9.
Рисунок 2-9.Переход к настройкам Chrome
Найдите ключевое слово «прокси», как показано на рисунке.2-10и нажмите
«Открыть настройки прокси-сервера вашего компьютера».
Рисунок 2-10.Открытие настроек прокси в Chrome
Теперь включите опцию «Использовать прокси-сервер» и введите адрес и номер
порта, как показано на рисунке.2-11.
19
Рисунок 2-11.Настройка системного прокси
После того, как прокси настроен, просто нажмите «Сохранить».
20
Край
Для настройки Edge с Burp Suite:
Нажмите на три горизонтальные точки в правом углу и выберите «Открыть
настройки прокси», как показано на рисунке.2-12.
Рисунок 2-12.Открытие настроек прокси в браузере Edge
21
После того, как прокси настроен, просто нажмите «Сохранить».
Опера
Для настройки Opera с Burp Suite:
Нажмите на настройки в правом верхнем углу и выберите опцию «Перейти к
настройкам браузера», как показано на рисунке.2-14.
22
Рисунок 2-14.Открытие настроек браузера в Opera
В поле поиска введите прокси, а затем выберите параметр «Открыть настройки прокси-
сервера вашего компьютера», как показано на рисунке.2-15.
Рисунок 2-15.Открытие настроек системного прокси
23
После того, как прокси настроен, просто нажмите «Сохранить». До сих

пор мы видели, как настроить такие браузеры, как Firefox, Chrome, Edge
и Opera, для работы с Burp Suite. Это просто требует настройки опции
сетевого прокси. Однако важно отметить, что после настройки прокси-
сервера браузера весь трафик, исходящий из браузера, будет обязательно
проходить через Burp Suite. Если вы работаете с несколькими вкладками в
браузере и тестируете приложение на одной вкладке,
24
Перевод: английский - русский - www.onlinedoctranslator.com
получая доступ к электронной почте в другом, весь этот трафик будет направляться через Burp
Suite. Если вы хотите пропускать только выборочный трафик через Burp Suite, вам необходимо
использовать дополнительные плагины для браузера, такие как те, что показаны в таблице.2-1.
Таблица 2-1.Дополнительные плагины браузера для прокси
Fire Fox прокси Switchyomega, Foxyproxy
Хром прокси Switchyomega, Foxyproxy
край н/д
опера прокси-переключатель и менеджер
Вышеуказанные плагины просты в использовании и позволяют пропускать
пользовательский выборочный трафик через Burp Suite. Использование этих плагинов
совершенно необязательно. Если вы не хотите использовать эти плагины, вы можете просто
использовать два отдельных экземпляра браузера, один для тестирования приложений, а
другой для личного использования. Или также можно выделить только необходимый трафик
в Burp Suite, о чем мы узнаем в следующей главе.
Резюме
В этой главе мы увидели, как загрузить, установить и начать работу с
инструментом Burp Suite. Затем мы изучили различные варианты, доступные
для настройки уязвимых целей, чтобы отработать навыки Burp Suite. Мы также
узнали, как настроить различные браузеры для работы с Burp Suite.
В следующей главе мы увидим, как настроить некоторые основные параметры в Burp
Suite, такие как прокси-сервер, параметры пользователя и параметры проекта.
25
• Загрузите последнюю версию Burp Suite.
• Попробуйте запустить Burp Suite из командной строки,
выделив произвольный объем памяти.
• Попробуйте и узнайте, как использовать подключаемый модуль
FoxyProxy для Firefox и Chrome.
26
ГЛАВА 3
Прокси, параметры пользователя,
и параметры проекта
В последней главе мы рассмотрели некоторые основы установки Burp Suite, настройки
уязвимого приложения и настройки различных браузеров для совместной работы. В этой
главе мы познакомимся с некоторыми основами прокси-сервера Burp Suite, а также с
несколькими параметрами пользователя и проекта.
Прокси
Прокси — это действительно суть Burp Suite. Используя функциональность

прокси, Burp Suite может видеть весь трафик, проходящий через него. В
предыдущих главах мы уже видели, как Burp Suite работает как человек
посередине и помогает нам перехватывать запросы.
Чтобы сделать Burp Suite функциональным, у нас должна быть полная конфигурация на
двух разных концах. Одна часть — это настройка сетевого прокси в браузере, который мы
видели в предыдущей главе. Другая часть — обеспечение правильной настройки прокси-
сервера Burp Suite. По умолчанию, когда мы запускаем Burp Suite, его прокси прослушивает
порт 8080. В этом случае вам не нужно делать никаких дополнительных настроек. Однако,
если порт 8080 уже используется каким-либо другим приложением в вашей системе,
возникнет конфликт портов, и прокси-служба Burp Suite не запустится. В этом случае вы
можете запустить прослушиватель прокси-сервера Burp Suite на любом другом
пользовательском порту, который еще не используется. Для этого перейдите на вкладку
«Прокси», как показано на рисунке.3-1.

https://doi.org/10.1007/978-1-4842-6402-7_3
Глава 3 прокси, параметры пользователя и параметры проекта
Рисунок 3-1.Опция прокси в Burp Suite
Затем перейдите на вкладку «Параметры», как показано на рисунке.3-2. Вы заметите, что
прокси-сервер Burp Suite по умолчанию работает на локальном хосте и порте 8080.
Рисунок 3-2.Параметры прокси
Чтобы включить прокси-сервер Burp Suite на пользовательском порту, нажмите кнопку
«Добавить», как показано на рисунке.3-3.
28
Рисунок 3-3.Добавление нового прослушивателя прокси
Теперь вы можете привязать прокси Burp Suite к любому пользовательскому порту.
После настройки пользовательского порта вы можете оставить адрес привязки по
умолчанию как «Только петля» или, если в вашей системе несколько сетевых интерфейсов,
вы можете выбрать любой из них, используя раскрывающееся меню в опции «Конкретный
адрес». .
После настройки прокси-сервера Burp Suite все готово для перехвата запросов
приложений. По умолчанию Burp Suite будет перехватывать только запросы. В любом
конкретном сценарии, если вам необходимо перехватывать и ответы, то это можно
сделать с помощью дополнительной настройки. Чтобы включить перехват ответов,
перейдите в «Прокси — Параметры» и установите флажок «Перехватывать ответы на
основе следующих правил:», как показано на рисунке.3-4.
Рисунок 3-4.Перехват ответов сервера
29
С помощью этой опции вы можете указать различные правила, на основе которых
прокси-сервер Burp Suite будет перехватывать ответы.
Теперь, когда у нас есть конфигурация браузера вместе с прокси-сервером Burp
Suite, мы можем попытаться перехватить запрос. Перейдите к «Прокси - Перехват» и
нажмите «Перехват, если выключен» (чтобы включить перехват). Теперь в браузере
введите любой URL-адрес и посмотрите на вкладку прокси в Burp Suite, как показано на
рисунке.3-5.
Рисунок 3-5.Перехват HTTP-запроса
Вы заметите, что запрос, который вы сделали из браузера, застрял в Burp

Suite. Теперь вы можете нажать «Вперед», если хотите разрешить отображение
URL-адреса в браузере. Вы можете отказаться от запроса, и браузер не загрузит
URL-адрес. Если вы отключите опцию «Перехват», то все запросы и ответы будут
перехватываться в Burp Suite без какого-либо ручного вмешательства. В правом
углу также есть возможность выделить цвет запроса, если вы хотите выделить его
по какой-либо причине вместе с комментариями.
На вкладке «История HTTP» показаны все запросы, прошедшие через
Burp Suite, как показано на рисунке.3-6.
Рисунок 3-6.История HTTP-прокси
30
История прокси-сервера фиксирует важную информацию, такую как хост, метод, URL-
адрес, параметры (если есть), статус того, был ли запрос отредактирован/подделан, код
состояния HTTP, длина контента, тип MIME, расширения, заголовок, IP-адрес, файлы cookie
и время. запрос. Это действительно огромное количество информации для начала. Burp
Suite также может захватывать трафик веб-сокетов по умолчанию, и это можно увидеть на
вкладке истории веб-сокетов.
Сертификат ЦС Burp Suite

Мы уже видели в предыдущей главе, что прокси-сервер Burp Suite работает как
человек посередине. При доступе к приложению через HTTPS через Burp Suite
прокси-сервер генерирует сертификат TLS, подписанный его центром сертификации,
и сохраняет его в клиентской системе. Чтобы наиболее эффективно использовать
Burp Suite в случае HTTPS, рекомендуется загрузить и установить сертификат ЦС Burp
Suite как доверенный в браузере.
Чтобы импортировать и установить сертификат ЦС Burp Suite, сначала
убедитесь, что ваш браузер Firefox настроен для работы с прокси-сервером Burp
Suite. Затем в адресной строке введите URL «http://burpsuite”как показано на
рисунке3-7.
Рисунок 3-7.Сертификат ЦС Burp Suite
Обратите внимание на правый угол «Сертификат ЦС». Нажмите на эту

опцию и загрузите файл «cacert.der», как показано на рисунке.3-8.
31
Рисунок 3-8.Загрузка сертификата ЦС Burp Suite
Затем перейдите в Инструменты Firefox — Параметры и введите «сертификат» в строке поиска, как
Рисунок 3-9.Опция сертификата в Firefox
Нажмите на опцию «Просмотр сертификатов», а затем используйте кнопку
«Импорт», как показано на рисунке.3-10чтобы выбрать сертификат Burp Suite,
который мы ранее скачали.
32
Рисунок 3-10.Диспетчер сертификатов Firefox
Аутентификация платформы, вышестоящие прокси-
серверы, прокси-сервер SOCKS
Аутентификация платформы
Существуют определенные сценарии, в которых приложение, размещенное на целевом
веб-сервере, защищено аутентификацией. В таком случае нам нужно настроить учетные
данные в Burp Suite. При отсутствии учетных данных Burp Suite не сможет получить доступ к
защищенной части приложения и пропустить возможные проверки. Чтобы настроить
аутентификацию платформы, перейдите к «Параметры пользователя — Подключения —
Аутентификация платформы», как показано на рисунке.3-11.
33
Рисунок 3-11.Настройка аутентификации платформы
Нажмите кнопку «Добавить», и появится всплывающее окно, как показано на
рисунке.3-12.
Рисунок 3-12.Настройка аутентификации платформы
34
Нам необходимо настроить хост назначения в виде IP-адреса или имени

хоста, типа аутентификации: Basic, NTLM V2, NTLM V1, Digest, имени пользователя
и пароля и домена, если применимо. Как только эти настройки будут записаны,
Burp Suite сможет беспрепятственно получить доступ к защищенной части
приложения с помощью этих учетных данных.
Прокси-серверы восходящего потока
При тестировании приложений в определенных сетевых средах может случиться так, что
прямой доступ к этому целевому приложению отсутствует. В таком случае нам может
потребоваться сначала подключиться к прокси-серверу, а затем подключиться к целевому
приложению. Burp Suite позволяет легко настроить вышестоящие прокси-серверы. Просто
перейдите к «Параметры пользователя — Соединения — Прокси-серверы вышестоящего
уровня», как показано на рисунке.3-13.
Рисунок 3-13.Настройка вышестоящих прокси-серверов
Нажмите кнопку «Добавить», как показано на рисунке.3-14и настройте
необходимые параметры прокси.
35
Рисунок 3-14.Добавление правила восходящего прокси
SOCKS-прокси
Burp Suite также позволяет выполнять все запросы на подключение через SOCKS-прокси.
Чтобы настроить Burp Suite с прокси-сервером SOCKS, перейдите в «Параметры
пользователя — Подключения — Прокси-сервер SOCKS», как показано на рисунке.3-15и
настройте необходимые параметры прокси.
36
Рисунок 3-15.Добавление SOCKS-прокси
Горячие клавиши
Инструмент Burp Suite имеет множество вкладок, инструментов и опций, с которыми мы
можем работать. Мы подробно обсудим их в следующих главах. Поначалу инструменты и
вкладки Burp Suite могут показаться ошеломляющими. Но все они становятся знакомыми,
когда вы начинаете их использовать. Хотя ко всем этим инструментам и вкладкам можно
получить доступ одним нажатием кнопки, иногда при работе над проектами гораздо проще
использовать сочетания клавиш, чем щелчки мышью.
Инструмент Burp Suite предлагает настройку горячих клавиш, которые представляют собой не что иное, как
сочетания клавиш для доступа к определенным инструментам или вкладкам. Чтобы настроить горячие клавиши,
перейдите в «Параметры пользователя» - «Разное» - «Горячие клавиши», как показано на рисунке.3-16.
Рисунок 3-16.Настройка горячих клавиш Burp Suite
37
По умолчанию горячие клавиши для общих функций в Burp Suite уже
настроены. Однако есть опция «Редактировать горячие клавиши», чтобы
изменить горячие клавиши по умолчанию или настроить горячие клавиши для
дополнительных функций.
Таблица3-1перечислены некоторые из распространенных горячих клавиш по умолчанию.
Таблица 3-1.Горячие клавиши по умолчанию в Burp Suite
Горячая клавиша Цель
Ctrl + р отправить на репитер
Ctrl + я отправить злоумышленнику
Ctrl + Ф Переслать перехваченное прокси-
сообщение
Ctrl + шифт + т переключиться на цель
Ctrl + шифт + р переключиться на прокси
Ctrl + шифт + я переключиться на нарушителя
Ctrl + шифт + р переключиться на репитер
Ctrl + шифт + о перейти к параметрам проекта
Ctrl + шифт + U URL декодировать
Ctrl + шифт + Б Декодирование Base-64
Ctrl + Б Кодировка Base-64
Помимо горячих клавиш в приведенной выше таблице, все остальные стандартные сочетания
клавиш для выделения всего текста, вырезания, копирования и вставки работают стандартным образом.
38
Резервные копии проекта
При работе над проектами с использованием Burp Suite генерируются большие объемы данных в
виде запросов и ответов. Возникает необходимость сохранять копию этих данных через равные
промежутки времени. Вместо того, чтобы выполнять эту задачу вручную, Burp Suite предлагает
функцию автоматического резервного копирования данных через определенные промежутки
времени.
Чтобы включить автоматическое резервное копирование, перейдите в «Параметры пользователя» — «Разное»
— «Автоматическое резервное копирование проекта», как показано на рисунке.3-17.
Рисунок 3-17.Настройка автоматического резервного копирования проекта
Используя эту функцию, мы можем указать продолжительность в минутах, после которой
Burp Suite автоматически запустит резервное копирование.
API отдыха
Хотя мы используем Burp Suite в основном для ручного тестирования безопасности приложений,
может быть так много других инструментов и вариантов использования, которые должны работать
вместе с Burp Suite. Могут быть другие инструменты безопасности, которые необходимо
интегрировать с Burp Suite, или определенные пользовательские сценарии автоматизации,
которые также должны автоматически запускать действия в Burp Suite.
39
Для всех этих целей Burp Suite предоставляет пользователям интерфейс REST API.
REST означает передачу репрезентативного состояния, а API означает интерфейс
прикладного программирования. REST API — самый популярный способ соединения
различных приложений.
Чтобы включить Burp Suite REST API, перейдите в «Параметры пользователя — Разное», как
Рисунок 3-18.Настройка интерфейса REST API Burp Suite
Чтобы включить Burp Suite REST API, просто установите флажок

«Служба запущена». REST API будет доступен по умолчанию на http://
127.0.0.1:1337как показано на рисунке3-19.
Рисунок 3-19.Интерфейс REST API Burp Suite
40
В интерфейсе REST API перечислены все поддерживаемые команды или методы,
вызываемые конечные точки, передаваемые параметры и ожидаемые ответы. Теперь это
полностью зависит от конкретного сценария или варианта использования того, как можно
использовать этот интерфейс REST API.
Отзыв о производительности
Как и в любом другом инструменте, в Burp Suite есть возможность собирать и отправлять определенные
диагностические данные, которые могут быть полезны для повышения производительности Burp Suite.
Это совершенно необязательная функция, и если она включена, она собирает данные только о
внутреннем функционировании, а не о конкретных пользователях или данных проекта. Burp Suite также
предоставляет функции для регистрации всех исключений или сообщения об определенной ошибке
команде Burp Suite.
Чтобы использовать параметры обратной связи по производительности, перейдите в «Параметры
пользователя» — «Разное» — «Отзыв о производительности», как показано на рисунке.3-20.
Рисунок 3-20.Настройка обратной связи по производительности
Варианты проекта
Эти параметры включают разрешение имени хоста, запросы вне области действия,
перенаправления, конфигурацию TLS, правила обработки сеансов, файл cookie Jar. и
макросы.
41
Тайм-ауты
Обработка запросов и ответов — основная функциональность Burp Suite. Могут быть
такие сценарии, как целевое приложение не работает, или есть проблемы с
подключением, когда Burp Suite должен решить, как долго он должен ждать ответа на
запрос, прежде чем отбросить его. Эти настройки определяются значениями времени
ожидания. Они настроены по умолчанию, и их можно оставить нетронутыми, если нет
явной необходимости изменить значения времени ожидания. Чтобы изменить
значения тайм-аута по умолчанию, перейдите к «Параметры проекта — Соединения
— Тайм-ауты», как показано на рисунке.3-21.
Рисунок 3-21.Настройка тайм-аутов запросов
Разрешения имени хоста
Разрешение имени хоста обычно происходит с помощью либо локального файла хоста, либо
сетевого DNS. Тем не менее, Burp Suite позволяет использовать собственные разрешения имен
хостов. Это может быть полезно в определенных сценариях, когда к приложению, размещенному
в интрасети, необходимо получить доступ с использованием определенного имени хоста или URL-
адреса.
Чтобы определить собственные правила разрешения имен хостов, перейдите к «Параметры
проекта — Соединения — Разрешения имен хостов», как показано на рисунке.3-22.
42
Рисунок 3-22.Настройка разрешения имени хоста
Нажмите кнопку «Добавить», после чего появится всплывающее окно для ввода
пользовательского имени хоста и связанного с ним IP-адреса, как показано на рисунке.3-23.
Рисунок 3-23.Добавление правила разрешения имени хоста
43
Запросы вне области

Как только браузер настроен для работы с Burp Suite, Burp Suite по умолчанию будет
захватывать весь HTTP-трафик на всех вкладках. Этот трафик может быть
подавляющим и отвлекающим. Из всего перехваченного трафика нам нужно
сконцентрироваться только на той цели, которую мы тестируем. Этого можно
добиться с помощью области видимости, которую мы рассмотрим в следующей главе.
Burp Suite предоставляет возможность просто отбрасывать все запросы, выходящие
за рамки. Это можно сделать, перейдя к «Параметры проекта — Соединения».
- Запросы вне области», как показано на рисунке3-24.
Рисунок 3-24.Настройка правил для запросов Out-of-Scope
Выбрав параметр «Использовать пользовательскую область», мы можем явно добавить URL-адреса,
которые мы хотим исключить из области действия, и отключить прокси-сервер, как показано на рисунке.
3-25.
44
Рисунок 3-25.Определение правил для запросов Out-of-Scope
Перенаправления
Автоматическое сканирование приложений требует обработки HTTP-перенаправлений. Механизм
сканирования должен принять меры, как только обнаружит любое перенаправление страницы.
Burp Suite имеет правила перенаправления, настроенные по умолчанию, и их можно оставить
нетронутыми, если нет явной необходимости их изменить или есть необходимость в
дополнительной настройке перенаправлений, управляемых JavaScript. Для настройки правил
перенаправления перейдите в «Параметры проекта — HTTP — Перенаправления», как показано на
45
Рисунок 3-26.Настройка перенаправления
Баночка для печенья
Любой инструмент сканирования/тестирования приложений должен поддерживать
репозиторий файлов cookie, которые он будет использовать для управления текущими
сеансами приложений. Возможность обнаружения в сеансе особенно необходима при
выполнении автоматического сканирования. Burp Suite хранит файлы cookie приложения
в контейнере под названием «Cookie Jar». По умолчанию Cookie Jar отслеживает трафик
прокси для извлечения и сохранения любых файлов cookie; однако мы можем явно
указать Burp Suite отслеживать и захватывать файлы cookie из других инструментов, таких
как Scanner, Repeater, Intruder, Sequencer и Extender. Это можно сделать, перейдя к
«Параметры проекта — Сеансы — Cookie Jar», как показано на рисунке.3-27.
46
Рисунок 3-27.Настройка параметров Cookie Jar
Макросы
В процессе тестирования безопасности приложения может потребоваться многократное
выполнение определенной последовательности действий. Burp Suite предоставляет отличную
функциональность макросов для достижения этой цели. Редактор макросов доступен в «Параметры
проекта — Сеансы — Макросы», как показано на рисунке.3-28. Вы можете просто нажать кнопку
«Добавить» и следовать указаниям мастера, чтобы записать шаги.
Рисунок 3-28.Настройка макросов
47
Резюме
В этой главе мы узнали о настройке прокси-сервера Burp Suite вместе с сертификатом CA. Затем
мы рассмотрели несколько параметров, таких как аутентификация платформы, вышестоящий
прокси-сервер, socks-прокси и т. д. Затем мы изучили несколько других полезных конфигураций,
включая горячие клавиши, резервные копии проектов, использование Burp Suite API, параметры
проекта, разрешения имени хоста, область видимости и перенаправления.
В следующей главе мы рассмотрим панель инструментов Burp Suite, целевую вкладку и
инструменты взаимодействия.
• Настройте свой любимый браузер и Burp Suite для работы с
пользовательским прокси-портом.
• Попробуйте установить сертификат CA Burp Suite для Chrome,
Edge и Opera.
• Просмотрите список горячих клавиш по умолчанию и попробуйте настроить
дополнительные сочетания клавиш по вашему выбору.
48
ГЛАВА 4
панель инструментов, цель,
и помолвка
Инструменты
В последней главе мы рассмотрели некоторые основы настройки прокси, параметров
пользователя и параметров проекта. В этой главе мы начнем знакомство с приборной
панелью Burp Suite, целевыми инструментами и инструментами взаимодействия.
Приборная доска
Панель инструментов, как следует из названия, является той важной частью Burp
Suite, которая, по сути, суммирует различные действия и задачи, выполняемые в
компонентах. Фигура4-1показывает типичный вид приборной панели Burp Suite.

https://doi.org/10.1007/978-1-4842-6402-7_4
Глава 4 Инструментальные панели, цели и взаимодействие
Рисунок 4-1.Панель инструментов Burp Suite
Для лучшего понимания разделим дашборд на четыре части и

постараемся подробно объяснить каждую. Для обучения используйте
цифры от 1 до 4 на рисунке.4-1.
В первой части панели мониторинга отображаются данные о текущих сканированиях,
как показано на рисунке.4-2. Сканирование может быть как пассивным, так и активным.
Если запущено несколько сканирований, мы можем отфильтровать их по состоянию:
выполняется, приостановлено или завершено. Мы также можем увидеть общую сводку
проблем, обнаруженных при сканировании. Также есть возможность создать новую задачу
сканирования, которую мы рассмотрим отдельно в следующей главе.
50
Рисунок 4-2.Задачи на панели инструментов Burp Suite
Вторая часть приборной панели показана на рисунке.4-3. Может случиться так, что
запущено либо пассивное сканирование, либо активное сканирование, и в любом
случае список найденных уязвимостей выделен в этом разделе. В этом разделе также
выделяется такая информация, как время обнаружения проблемы, тип проблемы, хост
или цель, на которой была обнаружена проблема, путь уязвимого URL-адреса,
серьезность проблемы и уровень достоверности. Burp Suite может помечать разные
уровни достоверности для разных проблем в зависимости от ответов; однако
проблемы требуют ручной проверки, чтобы убедиться в их достоверности.
Рисунок 4-3.Действия с проблемами на панели инструментов Burp Suite
51
Третья часть панели инструментов суммирует функциональные события Burp
Suite, как показано на рисунке.4-4. В основном это состояние прокси-службы, сбои
подключения TLS (если есть), сбои аутентификации, тайм-ауты и т. д. Например, если в
вашей системе уже настроен порт 8080 для какой-либо другой службы, в этой части
панели управления будет выделен этот прокси-сервер. служба не может быть
запущена на порту 8080. Или, если по какой-либо причине служба прокси
останавливается, то она также будет выделена здесь. В целом, он дает представление о
том, правильно ли работают прокси-сервер Burp Suite и связанные с ним службы.
Рисунок 4-4.Журнал событий на панели инструментов Burp Suite
Последняя часть приборной панели, как показано на рисунке4-5выделяет детали
проблемы. Если вы хотите просмотреть подробную информацию о какой-либо из проблем,
выделенных во время пассивного или активного сканирования, просто щелкните эту
проблему, как показано на рисунке.4-3 и подробности будут доступны соответственно.
Сведения о проблеме включают полное описание проблемы и рекомендации по
исправлению, а также фактический запрос и ответ.
52
Рисунок 4-5.Подробная информация о проблеме на панели инструментов Burp Suite
Вкладка «Цель»
Как и панель инструментов Burp Suite, которую мы видели в предыдущем разделе, вкладка
«Цель» является не менее важной рабочей областью. Целевая вкладка снова имеет
несколько панелей, как показано на рисунке.4-6.
Рисунок 4-6.Вкладка Target в Burp Suite
53
Чтобы понять различные части целевой вкладки, давайте рассмотрим одну часть за
раз, обращаясь к числам от 1 до 6, как показано на рисунке.4-6.
Крайний левый раздел целевой вкладки имеет номер «1» на рисунке.4-6показано

на рисунке4-7. Этот раздел создает иерархию сайта, который мы просматриваем. В нем
перечислены все конечные узлы, папки и т. д. в виде четко определенной древовидной
структуры. Это помогает получить представление о том, насколько большим может
быть сайт/приложение или что общего в его содержании. Это очень похоже на карту
сайта.
Рисунок 4-7.Карта приложений/иерархия
Следующий раздел под номером «2» согласно рисунку4-6показано на рисунке4-8. В
этом разделе перечислены все HTTP-запросы, которые были сделаны, а также другие
сведения, такие как точный хост, используемый метод HTTP, целевой URL-адрес, если URL-
адрес имеет какие-либо параметры, код ответа состояния HTTP, длина содержимого, тип
MIME и заголовок. страница, если есть. Просто просмотрев этот раздел, вы сможете найти
интересные URL-адреса, особенно те, которые имеют параметры для внедрения.
54
Рисунок 4-8.Список запросов
этом разделе показаны фактические HTTP-запрос и ответ. Вы можете видеть
необработанный запрос по умолчанию, но также можете видеть запрос в виде
параметров. Вы также можете увидеть все заголовки, используемые в ответе.
Рисунок 4-9.Средство просмотра запросов и ответов
55
этом разделе показан список проблем, обнаруженных во время пассивного или активного
сканирования. Проблемы классифицируются по степени серьезности, при этом самые
серьезные проблемы отображаются вверху.
Рисунок 4-10.Проблемы, обнаруженные в целевом приложении
Следующий раздел под номером «5» согласно рисунку4-6показано на

рисунке4-11. В этом разделе отображаются сведения о любой из выбранных
проблем. Он содержит описание проблемы вместе с рекомендациями по
исправлению. В этом разделе также можно просмотреть фактический запрос
и ответ, на основе которых была выделена проблема.
56
Рисунок 4-11.Сведения о проблеме
Следующий раздел под номером «6» согласно рис.4-6показано на рисунке4-12. Как
только мы настроим наш браузер для работы с Burp Suite, может быть перехвачено много
трафика. Следовательно, чтобы отфильтровать только необходимые данные, можно
использовать несколько фильтров. Некоторые общие и полезные фильтры включают
фильтрацию по типу запроса, типу MIME, коду состояния, расширению и т. д. Эта функция
также позволяет искать определенный элемент в данных, собранных через прокси.
57
Рисунок 4-12.Фильтры карты сайта
Инструменты взаимодействия
Инструменты взаимодействия — это не что иное, как небольшие утилиты, которые помогают выполнять
некоторые дополнительные задачи в Burp Suite. В этом разделе мы рассмотрим несколько таких
инструментов вовлечения, которые служат разным целям. Чтобы получить доступ к инструментам
взаимодействия, просто щелкните правой кнопкой мыши целевой URL-адрес, для которого вы хотите
запустить инструменты взаимодействия, как показано на рисунке.4-13.
58
Рисунок 4-13.Инструменты взаимодействия с Burp Suite
Первый инструмент вовлечения — это простой поиск, как показано на рисунке.
4-14. Это позволяет пользователям искать любое ключевое слово в запросах или
ответах от выбранной цели.
59
Рисунок 4-14.Инструмент поиска
Следующим инструментом взаимодействия является «Найти комментарии», как

показано на рисунке.4-15. Это просто просматривает собранные данные и находит любые
комментарии к коду. Стоит просмотреть эти комментарии, так как есть
всегда есть возможность найти что-то деликатное в комментариях.
Рисунок 4-15.Инструмент поиска комментариев
60
Следующим инструментом взаимодействия является «Найти сценарии», как показано
на рисунке.4-16. Этот инструмент просто ищет все сценарии в пределах выбранной цели.
Рисунок 4-16.Инструмент поиска скриптов
Следующим инструментом взаимодействия является «Найти ссылки», как
показано на рисунке.4-17. Этот инструмент перечисляет все компоненты Burp Suite,
где он может найти любую ссылку на выбранную цель. Например, URL-адрес
«demo.testfire. net» появился в Scanner, а также в Target в Burp Suite, как показано на
61
Рисунок 4-17.Инструмент поиска ссылок
Следующим инструментом взаимодействия является «Анализатор целей», как показано на
рисунке.4-18. Эта утилита предоставляет статистику в основном по размеру приложения с точки
зрения количества динамических URL-адресов, количества статических URL-адресов, количества
параметров и т. д. Эти статистические данные помогают тестировщику получить оценку усилий,
которые потребуются для тестирования приложения.
Рисунок 4-18.Целевой анализатор
62
Следующим инструментом взаимодействия является «Обнаружение контента», как показано
на рисунке.4-19. Этот инструмент помогает определить правила поиска или сканирования.
Например, это помогает определить правила сканирования при обнаружении новой цели,
например, какая длина и ширина должны быть просканированы или должны ли быть
просканированы только файлы или каталоги. Это создает хорошо структурированную карту сайта.
Это необязательно и может быть оставлено по умолчанию.
Рисунок 4-19.Инструмент обнаружения контента
Следующим инструментом взаимодействия является «Расписание задачи», как показано на
рисунке.4-20. Это простая утилита для планирования любых задач Burp Suite. Используя это, вы
можете приостановить или возобновить любую из задач.
63
Рисунок 4-20.Планировщик задач Burp Suite
Следующим инструментом взаимодействия является «Имитатор ручного тестирования», как
показано на рисунке.4-21. Этот инструмент будет отправлять HTTP-запросы к цели через случайные
промежутки времени и может помочь поддерживать сеанс в рабочем состоянии. Это может быть
полезно в ситуации, когда тестер находится в перерыве и существует вероятность того, что сеанс
приложения истечет по времени из-за бездействия.
64
Рисунок 4-21.Симулятор ручного тестирования
Резюме
В этой главе мы изучили основы приборной панели Burp Suite, целевой вкладки, а также
обсудили несколько полезных инструментов взаимодействия.
В следующей главе мы узнаем, как можно использовать Burp Suite Intruder для
автоматизации таких сценариев атак, как Brute Force и т. д.
• Просмотрите любой из выбранных целевых URL-адресов и наблюдайте за
изменениями на информационной панели и целевой вкладке.
• Запустите каждый из инструментов взаимодействия с выбранной
целью.
65
ГЛАВА 5
Злоумышленник
В предыдущей главе мы познакомились с некоторыми основами панели управления Burp Suite,
целевыми инструментами и инструментами взаимодействия. Теперь, когда мы ознакомились с
основами перехвата запросов и интерпретации сводки на панели инструментов, мы перейдем
к использованию инструмента Intruder. Intruder обладает расширенными возможностями
фаззинга, которые можно использовать в различных сценариях атак.
Знакомство со злоумышленником
Прежде чем мы углубимся в детали различных опций Intruder, важно понять, что такое
Intruder и как он может быть полезен при тестировании безопасности веб-
приложений. Intruder является частью Burp Suite, который можно эффективно
использовать для фаззинга и проведения атаки методом грубой силы.
Может быть приложение со страницей входа, на которой пользователю необходимо
ввести учетные данные, чтобы продолжить. С точки зрения тестирования безопасности было
бы целесообразно проверить эту страницу входа на наличие учетных данных по умолчанию,
слабых паролей или механизмов блокировки. Здесь Intruder может пригодиться. Имея список
имен пользователей и паролей, злоумышленник может попробовать все эти комбинации,
чтобы увидеть, совпадают ли какие-либо из них.
Мы также можем рассмотреть другой сценарий, в котором у нас есть интересный запрос,
который мы хотим исследовать дальше, чтобы проверить, уязвим ли он для SQL-инъекций или
межсайтовых сценариев. Опять же, Intruder может помочь с этим. Мы можем просто указать
Intruder URL-адрес и параметр, который мы хотим протестировать и передать.

https://doi.org/10.1007/978-1-4842-6402-7_5
Глава 5 Нарушитель
со списком полезной нагрузки SQL-инъекций или межсайтовых сценариев. Затем он
попытается вставить все полезные данные, которые мы предоставили, в параметр, который мы
хотим протестировать, и получить ответы. Как только это будет сделано, нам нужно проверить
ответы, чтобы увидеть, действительно ли какая-либо полезная нагрузка привела к
эксплуатации уязвимости.
Таким образом, Intruder чрезвычайно помогает в любом из тестовых сценариев, где
у нас есть две из следующих вещей:
1. URL-адрес и параметр для проверки
2. Список полезных нагрузок, которые должны быть отправлены в параметр
Теперь попробуем понять, как мы можем отправить запрос Intruder. Мы уже
видели целевую вкладку и горячие клавиши в предыдущих главах. Любой запрос
можно отправить Intruder двумя способами:
1. Щелкните правой кнопкой мыши запрос, который хотите отправить, и выберите
«Отправить злоумышленнику», как показано на рисунке.5-1.
Рисунок 5-1.Отправить запрос злоумышленнику
68
2. Выберите запрос, который хотите отправить, и нажмите
комбинацию горячих клавиш «Ctrl + I».
Теперь, когда мы отправили запрос Intruder, давайте посмотрим, какие

опции нужно настроить дальше.
Вкладка «Цель»
Первая вкладка в Intruder — это вкладка Target. В нем перечислены целевой URL-адрес и порт,
которые мы хотим атаковать через Intruder, как показано на рисунке.5-2.
Рисунок 5-2.Настройка цели атаки в Intruder
Также есть возможность использовать HTTPS, если целевой URL-адрес

использует безопасный канал связи.
Позиции
Следующая вкладка в Intruder — это вкладка «Позиции», как показано на рисунке.5-3.
69
Рисунок 5-3.Настройка позиций в Intruder
Всякий раз, когда запрос отправляется в Intruder, он сканирует запрос на

возможные точки вставки и помечает их как переменные, предшествующие и
заканчивающиеся знаком «$». Существует три варианта выбора точек вставки:
1.Добавить $ –Эта опция используется для добавления новой
точки вставки. Просто наведите курсор на начало и конец
точки вставки и нажмите «Добавить $».
2.Очистить $ –Эта опция просто удалит все точки

вставки, которые были выбраны вручную или
автоматически.
3.Авто $ –Эта опция просканирует запрос и попытается

автоматически установить точки вставки, отмечая
их знаком «$».
Когда мы уверены в точках вставки или параметрах, на которые мы хотим

нацелиться, следующим шагом будет выбор типа атаки. Доступны четыре
различных типа атак, как показано на рисунке.5-4.
70
Рисунок 5-4.Выбор типа атаки в Intruder
Четыре типа атаки следующие:

1.Снайпер –Этот тип атаки использует один набор полезных
нагрузок. В этом случае Intruder вставляет полезные данные
сразу в каждую из точек вставки, а затем перебирает их.
2.Таран –Этот тип атаки использует один набор полезных

нагрузок. В этом случае Intruder перебирает полезные
нагрузки, вставляя одну и ту же полезную нагрузку сразу во
все точки вставки.
3.Вилы –Этот тип атаки использует несколько наборов полезной
нагрузки. В этом случае Intruder использует разную
полезную нагрузку для каждой точки вставки.
71
4.Кассетная бомба –Этот тип атаки использует несколько наборов
полезной нагрузки. Для каждой из определенных точек вставки
существует свой набор полезных данных. Злоумышленник
перебирает каждый из наборов полезной нагрузки, после чего
проверяются все варианты комбинаций полезной нагрузки. Из-
за количества возможных перестановок и комбинаций в случае
кассетной бомбы будет сгенерировано большое количество
запросов.
Выбор правильного типа атаки зависит от сценария атаки и

количества точек вставки, которые должны быть нацелены одновременно.
См. рисунок5-5.
Рисунок 5-5.Тип атаки и позиции в Intruder
После настройки позиций полезной нагрузки и выбора типа атаки

мы можем перейти к настройке фактических полезных нагрузок.
72
Полезная нагрузка
Полезная нагрузка — это данные, которые Intruder итеративно вставляет в выбранные точки
вставки. Полезные нагрузки могут сильно различаться в зависимости от сценария или атаки, на
которую мы нацелены. В случае страницы входа, которую мы обсуждаем, полезной нагрузкой
будет список возможных паролей. Burp Suite предоставляет различные типы полезной нагрузки,
наиболее часто используемым из которых является список. Вы можете создать свой собственный
список, добавляя элементы по одному, как показано на рис.5-6или вы также можете выбрать
предопределенный список, который предлагает Burp Suite.
Рисунок 5-6.Выбор полезной нагрузки в Intruder
Burp Suite имеет несколько предопределенных списков в виде имен пользователей,
паролей, коротких слов, фаззинга полезной нагрузки для SQL-инъекций и межсайтового
скриптинга, каталогов, расширений и т. д. В зависимости от типа атаки мы можем либо
использовать предопределенный список, либо создать наш собственный список, как показано на
рисунке5-7.
73
Рисунок 5-7.Выбор полезной нагрузки Intruder из различных вариантов
Теперь, когда мы настроили позиции, а также полезные нагрузки, мы можем
начать атаку, нажав кнопку «Начать атаку». Появится новое окно, как показано на
рисунке5-8, а предоставленные нами полезные данные будут отправлены в точки
вставки, которые мы определили ранее — по одному запросу за раз.
74
Рисунок 5-8.Результаты атаки злоумышленника
Из рисунка5-8, мы видим, что Intruder отправил пять запросов с разными
полезными данными. Наблюдая и сравнивая длину контента, мы можем заметить, что
для полезной нагрузки «admin» ответ был другим. Следовательно, это может быть
пароль для пользователя-администратора, в которого мы пытаемся войти. Затем мы
можем легко проверить это, вручную войдя в целевое приложение.
75
Опции
Последней частью Intruder является вкладка «Параметры». Мы уже видели, что Intruder работает
как инструмент фаззинга или может выполнять атаку грубой силы. Это означает, что движку Burp
Suite придется отправлять большое количество запросов, ждать ответов, а затем обрабатывать их
на основе предопределенного набора правил. Опция «Обработчик запросов», как показано на
рисунке5-9 помогает настроить количество параллельных потоков, количество повторных
попыток при сбое сети и паузу перед продолжительностью повторной попытки. Значения, как
показано на рисунке5-9являются стандартными и предварительно настроенными. Однако в
зависимости от конкретных случаев использования эти значения могут быть изменены
соответствующим образом.
Рисунок 5-9.Параметры конфигурации злоумышленника
Злоумышленник отправляет большое количество запросов к цели вместе с
несколькими перестановками и комбинациями полезной нагрузки. Ответы могут быть
ошеломляющими. Здесь пригодится функция «Grep Match», как показано на рисунке.
5-10. С помощью этой функции мы можем настроить движок Intruder, чтобы помечать
или выделять интересные ответы, содержащие ключевые слова.
76
такие как ошибка, исключение, незаконный, сбой, стек, доступ, каталог и т. д. Если
злоумышленник найдет эти ключевые слова в любом из ответов, они будут явно
выделены, что значительно упростит анализ.
Рисунок 5-10.Извлечение соответствующих данных из результатов Intruder
Резюме
В этой главе мы узнали об использовании инструмента Intruder для проведения атак
методом фаззинга и грубой силы. Мы начали главу с изучения того, как отправлять
запросы Intruder, настраивать позиции, полезные нагрузки и, наконец, запускать атаку
и интерпретировать результаты. Мы также видели некоторые настраиваемые
параметры для Intruder.
В следующей главе мы увидим некоторые дополнительные полезные
инструменты в Burp Suite, такие как Repeater, Comparer, Decoder и Sequencer.
77
1. Используйте Intruder для обнаружения уязвимости межсайтового
скриптинга в любом из уязвимых приложений.
2. Используйте Intruder для обнаружения уязвимости SQL-инъекций в
любом из уязвимых приложений.
78
ГЛАВА 6
Повторитель, Сравнитель,
Декодер и
Секвенсор
В предыдущей главе мы узнали о том, как Intruder можно использовать для фаззинга и
выполнения атак методом грубой силы. В этой главе мы рассмотрим еще некоторые
инструменты Burp Suite, такие как Repeater, Comparer, Decoder и Sequencer.
Повторитель
Repeater, как следует из названия, — это простой инструмент в Burp Suite, который помогает
воспроизводить запросы. Мы уже видели в предыдущих главах, что когда мы просматриваем
приложение через Burp Suite, перехватывается большое количество запросов. Не все
перехваченные запросы могут быть полезны для дальнейшего тестирования или анализа.
Однако может быть несколько запросов с интересными параметрами, на которые стоит
потратить время для дальнейшего анализа. Репитер помогает именно в этом сценарии. Если
мы обнаружим, что конкретный запрос заслуживает дальнейшего изучения, мы можем
просто отправить его в Repeater. Оказавшись в Repeater, мы можем играть с запросом так,
как мы хотим; подделывать его заголовки, параметры и т.д.; а затем отправьте запрос в
приложение и посмотрите, как оно ответит. Repeater — это очень простой, но мощный
инструмент с простым интерфейсом, как показано на рисунке.6-1.

https://doi.org/10.1007/978-1-4842-6402-7_6
Глава 6 повторитель, компаратор, декодер и секвенсер
Рисунок 6-1.Консоль повторителя
Вкладка Repeater доступна напрямую в Burp Suite. По умолчанию он открывается

пустым, и нам нужно передать ему соответствующие данные HTTP-запроса. Чтобы
указать цель, щелкните значок «Изменить» рядом с «Целью», и появится новое окно,
как показано на рисунке.6-2, где мы можем ввести данные хоста и порта, с которыми
мы хотим взаимодействовать.
Рисунок 6-2.Настройка сведений о цели в повторителе
80
Более удобный способ отправки данных на повторитель показан на рисунке.6-3. Просто
щелкните правой кнопкой мыши любой из запросов, которые вы хотите отправить в повторитель
для дальнейшего анализа, и нажмите «Отправить в повторитель». Другой альтернативой
является просто выбрать запрос, который будет отправлен ретранслятору, и нажать горячую
клавишу 'Ctrl + R'.
Рисунок 6-3.Отправка HTTP-запроса на повторитель
Запрос на исследование теперь отправляется повторителю, как показано на
рисунке.6-4. Вкладка запроса содержит выбранный нами HTTP-запрос, а вкладка ответа
пуста, поскольку мы еще не отправили запрос.
Рисунок 6-4.Необработанный HTTP-запрос в повторителе
81
Окно запроса имеет несколько вкладок, как показано на рисунке.6-5. Одна из
вкладок — «Параметры», в которой перечислены все параметры, связанные по
умолчанию с загруженным нами запросом. Мы можем редактировать существующие
параметры, добавлять новые параметры или даже удалять любые существующие
параметры. Всегда интересно посмотреть, как приложение реагирует на все эти
изменения параметров.
Рисунок 6-5.Вкладка параметров в повторителе
Следующая вкладка — это вкладка «Заголовки», как показано на рисунке.6-6, в котором перечислены
все заголовки по умолчанию, отправляемые вместе с запросом. Опять же, все значения заголовков
доступны для редактирования: мы можем редактировать существующие значения, добавлять новые поля
заголовков, а также удалять любые существующие поля заголовков.
82
Рисунок 6-6.Вкладка «Заголовки» в Repeater
Установив необходимые параметры и значения заголовков, мы можем

нажать кнопку «Отправить», как показано на рисунке.6-7и получаем ответ от
приложения, который отображается во вкладке «Ответ».
Рисунок 6-7.Вкладка «Ответ» в повторителе
83
В этом случае полученный ответ был HTTP-статусом 302, что означает, что страница
предназначена для перенаправления. Мы можем щелкнуть опцию «Следовать за
перенаправлением», а затем получить окончательный ответ, как показано на рисунке.6-8.
Рисунок 6-8.Вкладка «Ответ» в повторителе
Показанный здесь ответ представляет собой необработанный текст, и иногда его трудно
интерпретировать. Следовательно, мы можем щелкнуть вкладку «Визуализация» в разделе
«Ответ», чтобы визуально загрузить ответ, как если бы мы видели его в браузере, как показано на
рисунке.6-9.
Рисунок 6-9.Рендеринг ответа в Repeater
84
Repeater также предоставляет возможность просмотра ответа в реальном браузере.
Для этого просто щелкните правой кнопкой мыши ответ, который вы хотите увидеть в
браузере, и выберите «Показать ответ в браузере», как показано на рисунке.6-10.
Рисунок 6-10.Просмотр ответа в Браузере
Burp Suite откроет другое окно, как показано на рисунке.6-11, со ссылкой,

которую нужно скопировать в браузер.
Рисунок 6-11.Показать ответ в браузере
Как только ссылка, сгенерированная Burp Suite, скопирована в браузере, ответ будет
отображаться соответствующим образом.
85
Сравнитель
В последнем разделе мы познакомились с инструментом Repeater. После того, как запрос
отправлен повторителю, существует широкий спектр возможностей для изменения
параметра запроса или полей заголовка и отправки его целевому приложению. Ответы в
каждом случае могут различаться в зависимости от того, какие параметры или поля
заголовка были заданы в запросе. Ответов может быть несколько, каждый из них выглядит
очень похоже. Здесь пригодится инструмент Comparer. Comparer просто сравнивает контент
напрямую и выделяет различия, если таковые имеются. Чтобы отправить ответ в Comparer,
просто щелкните ответ правой кнопкой мыши и выберите «Отправить в Comparer», как
Рисунок 6-12.Отправка ответа ретранслятора компаратору
Теперь, когда компаратору для сравнения нужны как минимум два текстовых
блока, мы отправляем компаратору еще один ответ, как показано на рис.6-13.
86
Рисунок 6-13.Отправка ответа ретранслятора компаратору
Теперь мы можем перейти на вкладку Comparer, как показано на рисунке.6-14и
увидеть оба ответа, которые мы отправили из Repeater ранее.
Рисунок 6-14.Консоль сравнения
Теперь, поскольку нам нужно найти различия в словах из обоих ответов,

мы нажимаем кнопку «Слова» и открываем новое окно, как показано на
87
Рисунок 6-15.Сравнение ответов в Comparer
Comparer теперь выделяет изменения текста в двух параллельных

окнах.
Декодер
Веб-приложения обычно используют различные схемы кодирования, такие как Ascii, HTML,
Base 64 и т. д. С точки зрения тестирования безопасности очень часто встречаются такие
закодированные строки во время тестирования. Burp Suite Decoder — это простая утилита,
которая может кодировать или декодировать текст в формате URL, HTML, Base 64, ASCII hHx,
Hex, Octal, Binary и Gzip. Просто перейдите на вкладку «Декодер», как показано на рисунке.
6-16и введите текст, который необходимо расшифровать.
Рисунок 6-16.Декодирование данных Base 64
88
В этом случае мы ввели значение в кодировке Base 64, а затем нажали
«Декодировать как» Base 64, чтобы получить декодированный вывод в следующем окне
как admin:admin.
Мы также можем использовать этот инструмент для кодирования любого простого текста, как показано на рисунке.6-17.
Рисунок 6-17.Кодирование данных с помощью Burp Suite Decoder
Мы просто ввели обычный текст <script>alert("XSS")</script>, а затем нажали
«Кодировать как» URL-адрес, чтобы получить закодированный вывод в следующем
окне.
Секвенсор
Веб-приложения во многом зависят от токенов, идентификаторов сеансов или других
подобных уникальных и случайных идентификаторов. С точки зрения безопасности важно
проверить случайность или уникальность этих токенов и идентификаторов. Если токены
недостаточно надежны и случайны, злоумышленники могут легко взломать их и получить
несанкционированный доступ.
Burp Suite Sequencer — это инструмент, который помогает нам тестировать надежность
токенов приложений. Мы можем отправить любой запрос в Sequencer, просто щелкнув запрос
правой кнопкой мыши и выбрав «Отправить в Sequencer», как показано на рисунке.6-18.
89
Рисунок 6-18.Отправка HTTP-запроса в Sequencer
Теперь мы можем перейти на вкладку Sequencer, как показано на рисунке.6-19.
Рисунок 6-19.Секвенсор Burp Suite
Мы ясно видим, что Sequencer автоматически проанализировал запрос и выбрал
токен JSESSIONID, присутствующий в файле cookie. Теперь этот токен будет
проанализирован на предмет его силы и случайности. Чтобы начать тест, просто
нажмите «Начать захват в реальном времени», и откроется новое окно, как показано
на рисунке.6-20.
90
Рисунок 6-20.Анализ идентификатора сеанса с использованием Sequencer
Начнется захват в реальном времени, и мы можем приостановить или возобновить его в
любое время. Однако важно отметить, что для эффективного анализа силы токена следует
учитывать размер выборки не менее 100. После завершения захвата Sequencer показывает нам
результат, который в данном случае был признан «отличным». Таким образом, токен JSESSIONID
является сильным, уникальным, случайным и, следовательно, безопасным для использования.
Sequencer также позволяет нам загружать образцы токенов вручную, а затем
анализировать их. Для этого просто перейдите на вкладку «Ручная загрузка» в
Sequencer, как показано на рисунке.6-21.
91
Рисунок 6-21.Ручная загрузка токенов для анализа
Теперь мы можем скопировать и вставить образец токенов, а затем проанализировать их соответствующим
образом.
Резюме
В этой главе мы увидели, как подделывать и воспроизводить запросы с помощью Repeater,
а затем выполнять непосредственное сравнение ответов с помощью Comparer. Затем мы
узнали об инструменте «Декодер», который помогает кодировать и декодировать текст в
различных форматах. Наконец, мы познакомились с инструментом Sequencer, который
можно использовать для оценки эффективности токенов.
В следующей главе мы узнаем о некоторых дополнительных полезных

инструментах в Burp Suite, таких как Infiltrator, Collaborator, Clickbandit и CSRF
PoC Generator.
92
1. Отправьте любой из запросов в Repeater и попытайтесь
изменить его параметры и поля заголовка. Затем
отправьте каждый из запросов и проанализируйте
ответы.
2. Сравните несколько ответов с помощью Comparer.
3. Используйте инструмент Декодер для кодирования текста в
форматах URL, HTML и Base 64.
4. Оцените надежность маркера любого из

перехваченных запросов.
93
ГЛАВА 7
Infiltrator, Collaborator,
Clickbandit и
PoC-генератор CSRF
В предыдущей главе мы рассмотрели некоторые инструменты Burp Suite, такие как
Repeater, Sequencer, Decoder и Comparer. В этой главе мы продолжим изучение более
полезных инструментов, таких как Infiltrator, Collaborator, Clickbandit и генератор CSRF
PoC (доказательство концепции).
Инфильтратор
Burp Suite Infiltrator — это инструмент, который настраивает целевое веб-
приложение, чтобы обнаружение уязвимостей с помощью сканера Burp Suite стало
более эффективным и точным. Infiltrator вносит необратимые изменения в код и, по
сути, подключается к целевому приложению. Таким образом, сканер Burp Suite
получает больше информации о коде приложения и потенциально обнаруживает
небезопасные вызовы и функции.

https://doi.org/10.1007/978-1-4842-6402-7_7
Глава 7 Infiltrator, Collaborator, CICkbandIt и генератор PoC CSRf
Поскольку Infiltrator вносит необратимые изменения в код целевого приложения,
рекомендуется запускать его только для тестового экземпляра, а не для
производственного экземпляра. В настоящее время Infiltrator поддерживается, если
целевое приложение использует одну из следующих технологий:
• Ява
• Отличный
• Скала
• Другой язык JVM (версии JRE 1.4–1.8)
• С#
• Visual Basic
• Другой язык .Net (версии .Net выше 2.0)
Чтобы начать работу с Infiltrator, щелкните меню Burp, а затем выберите

«Burp Infiltrator», как показано на рисунке.7-1.
Рисунок 7-1.Переход к Burp Suite Infiltrator
Появится новое окно, как показано на рисунке7-2. Этот мастер

поможет нам создать агент Infiltrator.
96
Рисунок 7-2.Создание агента Infiltrator
Нам нужно выбрать технологию, которую использует наше приложение, например Java или
. NET и нажмите «Далее». Затем мастер спросит место, где мы хотим

сохранить агент Infiltrator, как показано на рисунке.7-3.
97
Затем мастер просто сгенерирует агент Infiltrator и сохранит его в

выбранном ранее месте, как показано на рисунке.7-4.
Здесь важно отметить, что агент Infiltrator должен находиться в том же

каталоге, где находится целевое приложение, как показано на рисунке.7-5.
Рисунок 7-5.Недавно сгенерированный агент Infiltrator
Теперь, когда и агент Infiltrator, и целевое приложение находятся в одном
каталоге, мы можем открыть командную строку и ввести команду «java -jar
burp_infiltrator.jar», как показано на рисунке.7-6.
98
Рисунок 7-6.Выполнение агента Infiltrator
Infiltrator теперь будет запускать и изменять Java-приложения в каталоге. Это
одноразовая процедура, и приложение необходимо перезапустить после того, как
исправленный код станет доступен. Burp Infiltrator также использует Collaborator, о
котором мы поговорим в следующем разделе.
Соавтор
Collaborator — это инструмент, предоставляемый Burp Suite, который помогает в
таких атаках, как подделка запросов на стороне сервера (SSRF) или любых
внеполосных атаках. Сервис Burp Suite Collaborator помогает, генерируя случайные
полезные нагрузки в виде имен хостов. Затем эти полезные нагрузки можно
использовать как часть запросов в различных сценариях атак. Если атака успешна, то
происходит взаимодействие между целевым сервером приложений и сервером Burp
Collaborator. Затем, используя клиент Burp Collaborator, мы можем опросить и
проверить, произошли ли такие взаимодействия.
Чтобы начать работу с Burp Collaborator, просто щелкните меню Burp

и выберите «Клиент Burp Collaborator». Появится новое окно, как показано
на рисунке7-7.
99
Рисунок 7-7.Клиент Burp Suite Collaborator
Теперь нажмите кнопку «Копировать в буфер обмена» и вставьте ее значение в
блокнот, как показано на рисунке.7-8.
Рисунок 7-8.Настройка клиента Collaborator
100
Случайное значение, сгенерированное Burp Collaborator, теперь можно использовать в
полезной нагрузке в запросах, отправляемых в рамках атаки. Клиент Burp Collaborator
автоматически опрашивает сервер Collaborator каждые 60 секунд, чтобы проверить, было ли
какое-либо взаимодействие. Эту продолжительность можно настроить или просто нажать
кнопку «Опросить сейчас», чтобы вручную проверить взаимодействие с соавтором.
кликбандит
Clickjacking — одна из самых распространенных атак на веб-приложения. Используя кликджекинг, злоумышленник
пытается заставить пользователя щелкнуть что-то, что отличается от того, что пользователь видит визуально. В
случае успеха злоумышленник может получить доступ к конфиденциальной информации. Clickjacking также
известен как атака с исправлением пользовательского интерфейса, поскольку злоумышленник пытается
использовать обманную технику создания поддельного пользовательского интерфейса, а затем обманом
заставляет жертву выполнять вредоносные действия или события.
Burp Suite предлагает утилиту Clickbandit, которая значительно

упрощает процесс создания Proof-of-Concept для приложения,
уязвимого для Clickjacking.
Чтобы начать работу с инструментом Clickbandit, просто перейдите в меню Burp и
нажмите «Burp Clickbandit». Появится новое окно, как показано на рисунке7-9.
Рисунок 7-9.Инструмент Burp Suite Clickbandit
101
В этом окне перечислены шаги, которые нам необходимо выполнить, чтобы
сгенерировать доказательство концепции кликджекинга. Первый шаг — нажать кнопку
«Копировать Clickbandit в буфер обмена». Следующий шаг — открыть браузер и нажать
функциональную клавишу F12, чтобы перейти в консоль браузера, как показано на
Рисунок 7-10.Цель для Clickbandit
Чтобы продолжить, нам нужно вставить в эту консоль браузера код

Clickbandit, который мы скопировали ранее, как показано на рисунке.7-11.
102
Рисунок 7-11.Копирование кода Clickbandit в консоли браузера
Как только код будет скопирован в консоль браузера, просто нажмите Enter, и вы заметите,
что пользовательский интерфейс Burp Clickbandit появляется в верхней части страницы, как
103
Рисунок 7-12.Пользовательский интерфейс Clickbandit
Теперь нам нужно выполнить и записать действия, которые мы хотим включить в
состав атаки Clickjacking. После выполнения всех необходимых действий нажмите
кнопку «Сохранить», и вы сможете сохранить файл с именем «clickjacked.html», как
Рисунок 7-13.Сохранение кода Clickbandit
104
Теперь вы можете открыть файл clickjacked.html отдельно в браузере, как

показано на рис.7-14.
Рисунок 7-14.Выполнение кода Clickbandit
Вы заметите, что действия, которые вы зафиксировали ранее, теперь
воспроизводятся, и если вы нажмете, вы получите сообщение «Вас взломали!»
как показано на рисунке7-15.
Рисунок 7-15.Выполнение кода Clickbandit
105
Глава 7 Infiltrator, Collaborator, CICkbandIt и CSrf PoC Generator
CSRF
Подделка межсайтовых запросов, широко известная как CSRF, — это еще один тип
атаки на веб-приложения, который использует недостатки управления сеансом, чтобы
заставить жертву выполнять нежелательные действия. В Burp Suite есть утилита,
которая упрощает создание Proof-of-Concept для CSRF-уязвимости.
Сначала нам нужно идентифицировать и подтвердить запрос, для которого мы хотим
сгенерировать код подтверждения концепции CSRF. Как только запрос будет завершен, просто
щелкните его правой кнопкой мыши, перейдите в «Инструменты взаимодействия» и нажмите
«Создать CSRF PoC», как показано на рисунке.7-16.
Рисунок 7-16.Отправка запроса генератору CSRF PoC
Теперь появится новое окно, как показано на рисунке7-17, который

содержит запрос POST вместе с кодом CSRF.
106
Рисунок 7-17.PoC-генератор CSRF
Теперь легко изменить код CSRF по мере необходимости, а затем мы можем либо
напрямую протестировать его в браузере, либо сгенерировать отдельный HTML-файл.
Чтобы протестировать код CSRF в браузере, нажмите кнопку «Проверить в браузере», и
появится новое окно, как показано на рисунке.7-18.
107
Рисунок 7-18.PoC-генератор CSRF
Теперь нажмите кнопку «Копировать», откройте браузер и вставьте в адресную
строку, как показано на рисунке.7-19.
Рисунок 7-19.Проверка CSRF PoC в браузере
108
Теперь нажмите кнопку «Отправить запрос», и код CSRF будет

выполнен, как показано на рисунке.7-20.
Рисунок 7-20.Проверка CSRF PoC в браузере
Резюме
В этой главе мы узнали об использовании Intruder для инструментирования приложений и
расширении возможностей обнаружения Burp Scanner. Затем мы увидели Burp Collaborator,
который можно эффективно использовать во внеполосных атаках, таких как SSRF. Затем мы
рассмотрели инструмент Clickbandit, который помогает генерировать код проверки
концепции для приложений, уязвимых для кликджекинга; и, наконец, мы рассмотрели
генератор PoC CSRF, который помогает нам быстро генерировать и тестировать код
проверки концепции для атак с подделкой межсайтовых запросов.
В следующей главе мы увидим возможности автоматизированного
сканирования и отчетности Burp Suite.
109
1. Используйте Infiltrator для инструментирования любого из ваших целевых
Java-приложений.
2. Найдите уязвимый запрос CSRF и попытайтесь сгенерировать
доказательство концепции с помощью генератора PoC CSRF.
3. Сгенерируйте код подтверждения концепции кликджекинга для
вашего целевого веб-приложения.
110
ГЛАВА 8
Сканер
и отчетность
В последней главе мы узнали о различных инструментах, таких как Infiltrator,
Collaborator, Clickbandit и PoC-генератор CSRF. В этой главе мы рассмотрим
функции и возможности сканера Burp Suite для автоматического
Типы сканирования
На протяжении всей книги мы видели несколько возможностей Burp Suite, полезных
для ручного тестирования. Однако Burp Suite также предоставляет сканер уязвимостей
веб-приложений, который автоматизирует процесс поиска уязвимостей. Это
действительно очень многофункциональный сканер, способный обнаруживать
потенциальные веб-уязвимости.
Burp Suite предлагает два типа сканирования: пассивное сканирование и активное
сканирование. Пассивное сканирование по умолчанию работает в фоновом режиме, пока
мы просматриваем приложение через Burp Suite. Пассивный сканер просто отслеживает
трафик и пытается перечислить уязвимости, такие как отсутствующие флаги безопасности в
файлах cookie, отсутствующие заголовки безопасности, трафик, отправляемый по
незашифрованным каналам связи и т. д. Таким образом, пассивный сканер не пытается
внедрить какие-либо полезные нагрузки ни в одну из вставок. точки, а просто выделить
уязвимости, которые можно найти только путем пассивного мониторинга текущих запросов
и ответов. Активное сканирование идет дальше и

https://doi.org/10.1007/978-1-4842-6402-7_8
Глава 8 SCanner и отчетность
пытается вставить полезную нагрузку в точки вставки и проверить, не уязвимы ли
параметры. Активное сканирование — более интенсивный метод; однако он лучше
справляется с поиском уязвимостей, которые пассивный сканер может никогда не найти.
Теперь мы рассмотрим детали выполнения активного сканирования с помощью Burp Suite.
Сканирование и аудит
Активное сканирование обычно представляет собой двухэтапный процесс. Первый шаг включает в
себя обход или сканирование приложения, а второй шаг — атаку параметров с помощью полезной
нагрузки. Сканер Burp Suite предлагает два варианта: сканирование и аудит или просто
сканирование. Чтобы начать новый аудит, перейдите на вкладку «Панель инструментов» и
нажмите «Новое сканирование», как показано на рисунке.8-1.
Рисунок 8-1.Новая задача проверки
Появится новое окно, как показано на рисунке8-2. Мы выбираем опцию «Сканирование
и аудит». Далее нам нужно указать целевой URL-адрес, который мы хотим сканировать. В
этом случае мы вводим целевой URL как «demo.testfire.net».
112
Рисунок 8-2.Новая конфигурация сканирования
Далее идет область обзора, как показано на рисунке.8-3. URL-адреса, которые
мы хотим включить в аудит, должны быть указаны на вкладке «Включенные
префиксы URL-адресов», и если есть какие-либо конкретные URL-адреса, которые мы
не хотим включать в аудит, их необходимо явно указать. добавлено в раздел
«Исключенные префиксы URL».
113
Рисунок 8-3.Новая конфигурация сканирования
Теперь, когда мы настроили целевой URL-адрес, нам просто нужно нажать
«ОК», и сканирование и аудит начнутся, как показано на рисунке.8-4. Однако
важно отметить, что это действие начнется с конфигурации сканирования по
умолчанию.
Рисунок 8-4.Выполняются задачи сканирования
114
В следующем разделе мы рассмотрим настройку конфигурации

сканирования.
Конфигурация сканирования
В предыдущем разделе мы настроили и инициировали задачу сканирования и аудита для
целевого URL-адреса, но с параметрами конфигурации по умолчанию. В этом разделе мы
рассмотрим, как настроить конфигурацию сканирования в соответствии с нашими
потребностями. Чтобы настроить конфигурацию сканирования, щелкните вкладку
«Конфигурация сканирования», как показано на рисунке.8-5.
Рисунок 8-5.Конфигурация сканирования
Конфигурация сканирования позволяет нам настраивать параметры сканирования, а
также параметры аудита. Сначала мы рассмотрим настройки конфигурации обхода.
Нажмите кнопку «Создать» и выберите «Сканирование». Появится новое окно, как показано
на рисунке8-6.
115
Рисунок 8-6.Настройки оптимизации сканирования
Конфигурация оптимизации обхода позволяет нам установить максимальную

глубину ссылки, до которой мы хотим сканировать, а также стратегию обхода, которая по
умолчанию настроена на обычную. Мы можем изменить стратегию сканирования на
быструю, выбрав ее в раскрывающемся меню в зависимости от конкретного сценария
сканирования.
Затем мы можем настроить ограничения времени сканирования, как показано на рисунке.
8-7. Если целевое приложение большое и сложное, сканирование может занять много времени.
Мы можем установить ограничение на это, определив максимальное время, которое мы хотим
потратить на сканирование приложения. Мы также можем ограничить сканирование
количеством обнаруженных местоположений или максимальным количеством
запросы, сделанные во время функции сканирования.
Рисунок 8-7.Конфигурация ограничения сканирования
116
Следующий параметр конфигурации связан с функциями входа в систему, как показано на
рисунке.8-8. Может случиться так, что целевое приложение имеет функцию входа в систему. В
таком случае Burp Suite даже попытается зарегистрировать нового тестового пользователя.
Рисунок 8-8.Настройка функции входа
Следующий параметр конфигурации связан с обработкой ошибок приложения во
время обхода, как показано на рисунке.8-9. Ошибки приложения могут быть вызваны
несколькими причинами, такими как сбой аутентификации, проблемы с сетью и т. д. Этот
параметр конфигурации указывает сканеру Burp Suite приостановить сканирование и
функцию аудита, если имеется определенное количество последовательных ошибок
приложения.
117
Рисунок 8-9.Настройка ошибок приложения во время обхода
Следующий набор параметров конфигурации отличается, как показано на рисунке.8-10.
Это включает в себя настройки того, хотим ли мы, чтобы сканер Burp Suite автоматически
отправлял формы, или мы хотим настроить пользовательский агент, если мы хотим
получить robots.txt и карту сайта и т. д.
118
Рисунок 8-10.Различные настройки сканирования
Следующий набор параметров конфигурации связан с функцией аудита. Начнем с того, что
первым параметром конфигурации аудита является «Оптимизация аудита», как показано на
рисунке.8-11. Этот параметр позволяет настроить скорость и точность аудита. Скорость аудита
может быть установлена как быстрая, нормальная или тщательная, а точность аудита может
быть установлена как нормальная или для сведения к минимуму ложных срабатываний.
119
Рисунок 8-11.Конфигурация оптимизации аудита
Следующий параметр конфигурации аудита связан с типом проблем, о которых
сообщается, как показано на рисунке.8-12. Сканер Burp Suite обнаруживает множество
проблем. Однако во время определенного тестового сценария может случиться так, что
нужно будет протестировать только определенный тип проблемы. В таком случае не стоит
тратить время на тестирование всех других типов проблем. Следовательно, этот параметр
конфигурации позволяет нам настроить тип проблем, которые мы хотим проверить во
время сканирования.
120
Рисунок 8-12.Типы проблем, которые должны быть обнаружены во время аудита
Следующий параметр конфигурации аудита связан с обработкой ошибок
приложения во время функции аудита, как показано на рисунке.8-13. Мы уже видели
подобный параметр конфигурации для функции сканирования. Этот параметр
помогает настроить количество сбоев, после которых задача аудита будет
приостановлена.
121
Рисунок 8-13.Настройка ошибок приложения во время аудита
Следующий параметр конфигурации аудита связан с типом точек вставки,
которые мы хотим, чтобы сканер Burp Suite атаковал во время функции аудита, как
показано на рисунке.8-14. Выбор всех типов точек вставки увеличит вероятность
обнаружения большего количества уязвимостей, но в то же время для завершения
аудита потребуется больше времени.
Рисунок 8-14.Настройка типов точек вставки
122
Все параметры конфигурации сканирования и аудита, которые мы видели до сих пор, по
умолчанию имеют оптимальные значения. Мы можем быстро запустить новую задачу
сканирования и аудита, используя конфигурацию сканирования по умолчанию. Однако в
зависимости от конкретных сценариев сканирования может потребоваться настроить
параметры конфигурации сканирования.
Вход в приложение
Следующим важным параметром конфигурации сканирования является настройка «Вход в
приложение», как показано на рисунке.8-15. При сканировании целевого приложения мы можем
столкнуться с определенными страницами, не требующими аутентификации, в то время как может
быть несколько страниц, доступ к которым возможен только после аутентификации. Если мы
хотим, чтобы сканер Burp Suite также проверял страницы после аутентификации, нам необходимо
предоставить учетные данные.
Рисунок 8-15.Настройка входа в приложение
123
Учетные данные можно добавить, просто нажав кнопку «Создать» и

указав необходимое имя пользователя и пароль.
Пулы ресурсов
Последним параметром конфигурации сканирования является «Пул ресурсов», как показано на рисунке.
8-16. Пул ресурсов помогает определить системные ресурсы, которые будут использоваться для
выполнения нескольких задач. По умолчанию создается пул ресурсов, который позволяет выполнять не
более 10 одновременных запросов. Мы можем оставить это значение по умолчанию, если только мы не
хотим выполнять многозадачность в одном и том же проекте Burp Suite.
Рисунок 8-16.Настройка пулов ресурсов
124
Составление отчетов
Сообщать о проблемах в презентабельном формате так же важно, как и находить их. Burp
Suite предлагает отличную функцию создания отчетов, которая помогает нам создать отчет
в требуемом формате со всеми соответствующими выдержками об уязвимости. Созданный
отчет может быть передан соответствующим заинтересованным сторонам для дальнейших
действий.
После завершения задачи обхода и аудита все проблемы, обнаруженные во время
сканирования, перечислены на панели «Действия по проблемам», как показано на рисунке.8-17.
Теперь нам просто нужно выбрать вопросы, которые мы хотим включить в отчет. Для этого
просто щелкните правой кнопкой мыши проблему, о которой необходимо сообщить, и
выберите «Сообщить о проблеме».
Рисунок 8-17.Экспорт проблем в отчет
Мастер отчетов Burp Suite теперь спросит нас о формате отчета, который мы
хотим получить, как показано на рисунке.8-18. В настоящее время Burp Suite
поддерживает создание отчетов в форматах HTML или XML.
125
Рисунок 8-18.Выбор формата отчета
Затем нам нужно выбрать, какие сведения о проблеме требуются в отчете,

Рисунок 8-19.Выбор типа деталей для включения в отчет
Затем нам нужно выбрать, нужны ли нам полные HTTP-запросы и ответы для
заявленных проблем или только соответствующие выдержки, как показано на
126
Рисунок 8-20.Выбор форматов запросов и ответов для отчета
Наконец, нам нужно выбрать имя и место, где мы хотим

создать отчет, а также заголовок отчета, как показано на рисунке.
8-21.
127
Рисунок 8-21.Настройка места, где будет сохранен отчет

Теперь мастер отчетов Burp Suite сгенерирует отчет об уязвимостях,
Рисунок 8-22.Создание отчета
128
Сгенерированный отчет можно просмотреть в любом из браузеров, как
показано на рисунке.8-23. В отчете приводится сводка результатов, основанная на
достоверности, а также серьезности.
Рисунок 8-23.Просмотр отчета в браузере
В отчете также подробно показана уязвимость вместе с соответствующим
запросом и ответом, как показано на рисунке.8-24.
129
Рисунок 8-24.Сведения об уязвимости в отчете
Резюме
В этой главе мы узнали о сканере Burp Suite и о том, как его можно
настроить для эффективного автоматического поиска уязвимостей
приложений.
В следующей главе мы увидим, как использовать Burp Suite Extender для
установки дополнительных плагинов и расширения возможностей.
1. Сканируйте любое из целевых веб-приложений, используя
функцию сканирования и аудита Burp Suite.
2. Создайте отчет в формате HTML о проблемах, обнаруженных во
время сканирования.
130
ГЛАВА 9
Расширение Burp Suite

В прошлой главе мы узнали о сканере Burp Suite, который эффективно
помогает автоматизировать обнаружение уязвимостей. В этой главе мы
рассмотрим функцию расширения Burp Suite, с помощью которой мы можем
еще больше расширить возможности Burp Suite.
Расширения Burp Suite

До сих пор на протяжении всей книги мы видели различные возможности Burp Suite как для
ручного, так и для автоматического обнаружения уязвимостей. Мы изучили различные
инструменты и утилиты в Burp Suite, которые можно использовать для конкретных задач.
Burp Suite теперь больше похож на платформу, достаточно гибкую

для размещения внешних функций и утилит. Как мы уже видели, Burp
Suite предоставляет множество возможностей из коробки. Однако эти
возможности можно расширить с помощью расширений.
Расширения Burp Suite бывают разных форм, как показано ниже:
Расширения по умолчанию –Эти расширения

перечислены по умолчанию в любой из настроек Burp
Suite и могут быть установлены через расширитель Burp
Suite.
Про расширения –Это расширения, которые

можно установить и запустить только в Burp Suite
Professional Edition.

https://doi.org/10.1007/978-1-4842-6402-7_9
Глава 9. Расширение Burp Suite
Регулярные расширения –Это расширения, которые

можно установить и запустить как в Burp Suite
Community Edition, так и в Professional Edition.
Другие расширения —Burp Suite открыл API-интерфейсы, которые
разработчики могут писать с помощью новых пользовательских
расширений. Такие расширения не являются частью официального
магазина расширений, но их необходимо загружать и
устанавливать вручную.
BApp Store
Самый простой способ установить расширение в Burp Suite — через BApp Store. Чтобы
получить доступ к BApp Store, просто перейдите к Extender — BApp Store, как показано
Рисунок 9-1.BApp Store
BApp Store имеет очень простой в использовании интерфейс с двумя панелями, как
132
Рисунок 9-2.BApp Store
На левой панели перечислены все доступные расширения, а также следующая
информация:
• Имя расширения,
• Независимо от того, установлено ли оно в данный момент или нет,
• Рейтинг расширения,
• Популярность расширения,
• Дата последнего обновления расширения,
• Доступно ли расширение для использования только с

Burp Suite Professional Edition или его можно
использовать и в Community Edition.
На правой панели содержится подробная информация о любом из расширений,
которые мы выбираем на левой панели. Сюда входит следующая информация:
• Подробная информация о том, что представляет собой расширение и как его можно
использовать.
• Автор
• Версия расширения
133
• Источник
• Дата последнего обновления расширения.
• Рейтинг и популярность расширения
• Кнопка «Установить», чтобы установить и добавить расширение к
текущей настройке Burp Suite.
Важно отметить, что в BApp Store регулярно добавляются новые расширения.

Чтобы убедиться, что список расширений является последним, просто нажмите
кнопку «Обновить список», как показано на рисунке.9-3.
Рисунок 9-3.Просмотр расширений в BApp Store
Вот некоторые из полезных расширений из BApp Store:
• Активное сканирование++ –Это расширение разработано для
дальнейшего расширения возможностей пассивного и активного
сканирования Burp Suite.
• Дополнительные проверки сканера –Это расширение добавляет еще
несколько проверок к пассивному сканеру, такому как XSS на основе DOM и т.
д.
• CSRF-сканер –Это расширение помогает пассивно сканировать
уязвимости межсайтовой подделки запросов (CSRF).
134
• Откройте для себя обратную табуляцию –Это

расширение ищет в HTML-коде возможные
уязвимости Tabnabbing.
• Проверка сообщений об ошибках –Это расширение помогает пассивно
обнаруживать любые сообщения об ошибках или исключениях, которые могут
содержать конфиденциальную информацию, например трассировку стека.
• Анализатор заголовков –Это расширение пассивно проверяет
заголовки ответов и помечает все отсутствующие заголовки
безопасности, такие как X-XSS-Protection, X-Frame-Options и многие
другие.
• Аудитор HTML5 —Это расширение проверяет, использовались ли какие-
либо потенциально небезопасные функции HTML5, такие как хранение
конфиденциальных данных в хранилище на стороне клиента, геолокация
клиента и т. д.
• J2EESскан –Это расширение помогает улучшить тестовое покрытие для
приложений J2EE, а также добавляет дополнительные тестовые примеры.
• Сканер десериализации Java –Это расширение добавляет к
Burp Suite возможность обнаруживать уязвимости
десериализации Java.
• Безопасность JavaScript –Это расширение также добавляет несколько пассивных
проверок, связанных с безопасностью JavaScript, таких как проблемы с DOM,
совместное использование ресурсов между источниками (CORS) и т. д.
• Выйти на пенсию.js –Это расширение пассивно отслеживает трафик и
обнаруживает использование любой уязвимой сторонней библиотеки
вместе с необходимыми данными CVE.
• Репортер SameSite —Это расширение проверяет,
установлен ли атрибут SameSite в файлах cookie или нет.
135
• Отчет о версии программного обеспечения –Это расширение пассивно
анализирует трафик и сообщает все сведения о версии программного
обеспечения. Эта информация может дополнительно помочь в перечислении
приложений.
• Загрузить сканер –Это расширение добавляет в Burp Suite
возможности для обнаружения функций загрузки файлов и
связанных с ними уязвимостей.
• Сканер обмана веб-кэша –Это расширение

сканирует приложение на наличие любой уязвимости
Web Cache Deception.
• Аудитор CSP –Это расширение сканирует заголовки

ответов и проверяет, правильно ли настроена политика
безопасности содержимого (CSP).
• Калькулятор CVSS –Это расширение облегчает оценку

уязвимостей с использованием методологии CVSS из Burp
Suite.
Ручная установка
В предыдущем разделе мы увидели, как мы можем просматривать, выбирать и
устанавливать расширения с помощью BApp Store. Не все написанные расширения
доступны в BApp Store. Могут быть расширения, написанные отдельными авторами,
опубликованные на разных сайтах, таких как GitHub и т. д.
В таком случае, когда расширения нет в BApp Store, нам нужно скачать его
отдельно и установить вручную. Чтобы установить расширения вручную,
перейдите на вкладку «Расширения» в Extender, как показано на рисунке.
9-4.
136
Рисунок 9-4.Добавление расширений вручную
Burp Suite допускает установку сторонних расширений в следующих

форматах, как показано на рисунке.9-5.
• Ява
• Питон
• Рубин
Рисунок 9-5.Выбор типа расширения
Другие параметры включают в себя, хотим ли мы отображать выходные данные и
ошибки после установки расширения на консоли или хотим сохранить их в файл, как
137
Рисунок 9-6.Добавление расширений вручную
Чтобы установить расширение, выберите тип расширения (Java/Python/Ruby),

а затем просто найдите и выберите место на диске, где находится расширение,
138
Рисунок 9-7.Выбор файла расширения
Если установка расширения завершена успешно, отображается

сообщение, как показано на рис.9-8.
Рисунок 9-8.Загрузка расширений вручную
139
Настройки
Теперь, когда мы увидели, как устанавливать расширения либо через BApp Store, либо
вручную, давайте рассмотрим некоторые дополнительные настройки, связанные с
расширениями.
• Доступ к настройкам можно получить, перейдя к «Расширитель —
Параметры», как показано на рисунке.9-9. Первые два
параметра определяют, хотите ли вы автоматически
перезагружать расширения при запуске Burp Suite и хотите ли
вы автоматически обновлять расширения при запуске.
Рисунок 9-9.Параметры BApp Store
Следующая настройка связана со средой Java. Большинство расширений написаны
на Java. Чтобы обеспечить правильную работу этих расширений, может потребоваться
указать путь к любым дополнительным зависимостям библиотеки, как показано на
рис.9-10.
140
Рисунок 9-10.Настройка среды Java

Следующая настройка связана с настройкой среды Python. Для некоторых
расширений требуется интерпретатор Python, реализованный на Java, который
называется Jython. Jython можно скачать и установить сhttps://www.jython. орг/
скачать. После установки вам необходимо обновить путь к каталогу установки
Jython, как показано на рисунке.9-11.
Рисунок 9-11.Настройка среды Python
Последняя настройка связана с настройкой среды Ruby. Как мы видели

ранее, Burp Suite также поддерживает расширения, написанные на Ruby;
следовательно, нам нужно указать путь к интерпретатору Ruby, как показано на
рисунке.9-12. Чтобы запустить расширение Burp Suite, написанное на Ruby,
необходимо загрузить и установить JRuby сhttps://www.jruby.org/ скачать.
141
Рисунок 9-12.Настройка среды Ruby
Другие полезные расширения
Ранее в этой главе мы уже видели несколько полезных расширений, доступных в BApp
Store. Поскольку Burp Suite предоставляет разработчикам интерфейс прикладного
программирования (API), легко писать и разрабатывать собственные расширения по
мере необходимости. Вот несколько дополнительных полезных расширений, которые
можно установить в Burp Suite вручную.
• когда-то -Это расширение можно скачать с https://

github.com/linkedin/когда-нибудь. Это расширение
пассивно отслеживает трафик, чтобы проверить,
уязвимо ли приложение для выполнения метода того
же источника.
• burp-suite-gwt-scan –Это расширение можно

скачать сhttps://github.com/augustd/burp-suite-gwt-
scan-Это расширение помогает автоматически
определять точки вставки для запросов GWT (Google
Web Toolkit) при их отправке активному Scanner или
Burp Intruder.
• Искатель панели администратора –Это расширение можно
скачать сhttps://github.com/moeinfatehi/ Панель
администратора_Finder-Это расширение помогает в
142
перечисление интерфейсов администрирования инфраструктуры и
приложений, которые могли быть оставлены открытыми по ошибке.
• Pwnback –Это расширение можно скачать с https://

github.com/P3GLEG/PwnBack. Это расширение помогает
восстановить старые и архивные версии приложения, если
они есть. Может быть полезно сравнить старую и текущую
версии приложения, чтобы проверить изменения и
связанные с ними уязвимости.
• Сапер –Это расширение можно скачать с

https://github.com/codingo/Сапер
- Это расширение помогает обнаруживать скрипты, загружаемые из
более чем 23000 вредоносных доменов майнинга криптовалюты
(криптоджекинг).
Дополнительный и исчерпывающий список расширений Burp Suite

см.https://github.com/snoopysecurity/awesome-burp-extensions.
API
На протяжении всей этой главы мы видели использование Extender для добавления и
установки новых расширений, которые значительно улучшают возможности Burp
Suite. Burp Suite предлагает еще одну полезную функцию в виде интерфейса
прикладного программирования (API). С помощью этих API можно писать собственные
расширения. Список доступных API и подробные инструкции по их использованию
доступны на вкладке «Расширитель — API», как показано на рисунке.9-13.
143
Рисунок 9-13.API расширителя Burp Suite
Резюме
В этой главе мы познакомились с расширителем Burp Suite, который позволяет
расширять возможности Burp Suite за счет внешних расширений. Мы изучили BApp
Store, в котором есть список множества полезных расширений, а также научились
устанавливать расширения вручную, если их нет в BApp Store. Наконец, мы
перечислили несколько дополнительных расширений помимо официально
представленных в BApp Store.
В следующей главе мы увидим, как мы можем использовать возможности Burp
Suite для тестирования мобильных приложений и API. Мы также увидим полный
рабочий процесс тестирования приложения с помощью Burp Suite.
144
1. Используйте BApp Store для установки расширений, обсуждаемых в
этой главе.
2. Выполните активное сканирование целевого приложения
перед установкой расширений и после установки
расширений. Обратите внимание на разницу в
уязвимости, обнаруженные в обоих сканированиях.
3. Изучите дополнительные расширения, описанные в этой
главе, и попробуйте установить их вручную.
145
ГЛАВА 10
Тестирование мобильных приложений
и API с Burp
Suite
В прошлой главе мы узнали о функции расширителя Burp Suite, которая позволяет
расширять возможности Burp Suite с помощью сторонних расширений. В этой
последней главе мы рассмотрим, как можно использовать Burp Suite для тестирования
API и мобильных приложений. Мы закончим кратким описанием рабочего процесса
тестирования любого веб-приложения с использованием Burp Suite.
Тестирование безопасности API с помощью Burp Suite
На протяжении всей этой книги мы изучали различные возможности Burp Suite,
которые можно использовать для тестирования безопасности веб-приложений.
Однако сегодняшние современные приложения более совместимы и
взаимосвязаны. Это достигается за счет использования интерфейсов прикладного
программирования (API).

https://doi.org/10.1007/978-1-4842-6402-7_10
Глава 10. Тестирование мобильных приложений и API с помощью пакета burp
Открытие API значительно помогает в автоматизации задач; однако в то же

время он также создает риски безопасности, если не реализован безопасным
образом. Хотя большинство уязвимостей веб-приложений относится к API, есть
несколько уязвимостей, специфичных для API. OWASP опубликовал список 10
основных уязвимостей для API, который можно найти по адресу https://
owasp.org/www-project-api-security/.
Подход к тестированию безопасности API с помощью Burp Suite очень похож
на обычные веб-приложения, которые мы уже видели в книге. Поскольку API
взаимодействуют по протоколу HTTP/HTTPS, трафик может быть перехвачен и
изменен в Burp Suite, как и любой другой обычный запрос и ответ веб-
приложения. Для тестирования безопасности API с помощью Burp Suite мы
можем использовать один из следующих подходов:
1. Просканируйте приложение обычным способом и определите конечные
точки, принадлежащие API. После определения конечных точек API
соответствующие запросы могут быть отправлены повторителю или
злоумышленнику для дальнейшего тестирования.
2. Во многих случаях API-интерфейсы вызываются через
функциональные возможности пользовательского интерфейса
(UI) в приложении. В таком случае вы можете просто создать
новую задачу «Сканирование и аудит» в сканере Burp Suite и
убедиться, что все проверки и задачи сканера выполнены.
3. Может быть набор API, которые не вызываются напрямую из какого-
либо пользовательского интерфейса. Такие API часто тестируются
вручную с помощью таких инструментов, как Postman. Мы можем
легко интегрировать Postman с Burp Suite для захвата всего
необходимого трафика API. Как только необходимые API-запросы и
ответы будут в Burp Suite, останется только протестировать их с
помощью Repeater или Intruder, если это необходимо.
148
Теперь мы посмотрим, как мы можем интегрировать Postman с Burp Suite.

Postman — популярный инструмент для ручного тестирования API. Его можно
скачать сhttps://www.postman.com/downloads/. Интерфейс приложения Postman
показан на рисунке.10-1.
Рисунок 10-1.Инструмент Почтальон
Чтобы настроить Postman для работы вместе с Burp Suite, щелкните

параметр «Настройки» в правом верхнем углу, как показано на рисунке.10-2.
Рисунок 10-2.Переход к настройкам в инструменте Postman
149
Откроется новое окно настроек, как показано на рисунке.10-3. Теперь перейдите на
вкладку прокси и выберите «Добавить пользовательскую конфигурацию прокси» и введите
адрес прокси-сервера как адрес машины, на которой запущен Burp Suite (обычно localhost
или 127.0.0.1), и порт как 8080 или тот, на котором мы хотим прослушиватель прокси-
сервера Burp Suite, на котором он будет активен.
Рисунок 10-3.Настройка прокси в Postman tool
Теперь, когда мы закончили настройку на стороне Postman, нам нужно убедиться, что
правильная конфигурация прокси-сервера также выполнена на стороне Burp Suite. Чтобы
убедиться, что в Burp Suite настроен правильный прокси-сервер, перейдите на вкладку
«Прокси» и выберите «Параметры», как показано на рисунке.10-4, и убедитесь, что IP-адрес
и номер порта соответствуют тому, что было настроено ранее в Postman.
150
Рисунок 10-4.Настройка прокси-слушателя Burp Suite
Как только Postman и Burp Suite настроены для совместной работы, весь
трафик, генерируемый Postman, теперь будет проходить через Burp Suite.
Это очень похоже на то, как мы настроили наши браузеры для работы с Burp
Suite.
Теперь, когда мы увидели, как настроить Postman для работы вместе с Burp Suite,
мы увидим, как работает обратная сторона; то есть как мы экспортируем данные из
Burp Suite в Postman для выборочного тестирования?
Хотя Burp Suite Repeater и Intruder служат для большинства целей

тестирования безопасности API, может возникнуть необходимость
протестировать конкретный API в интерфейсе Postman. В таком случае
можно экспортировать запрос API из Burp Suite в инструмент Postman.
Для экспорта запроса API из Burp Suite в Postman нам потребуется установить
расширение под названием «Postman Integration». Просто перейдите на вкладку
«Расширитель», откройте «BApp Store» и установите расширение «Интеграция с
почтальоном», как показано на рисунке.10-5.
151
Рисунок 10-5.Установка расширения Postman Integration в

Burp Suite через BApp Store
После установки расширения:
1. Перейдите на вкладку Цель,
2. Выберите запрос, который вы хотите экспортировать в Postman,
3. Щелкните правой кнопкой мыши запрос, который необходимо экспортировать,
4. Выберите опцию «Экспортировать как коллекцию почтальонов», как
Рисунок 10-6.Экспорт запросов в Burp Suite как коллекцию Postman
152
Появится новое окно, как показано на рисунке10-7. Введите необходимое

имя коллекции и имя папки и нажмите кнопку «Экспорт». Затем коллекция
будет экспортирована и сохранена в указанном месте.
Рисунок 10-7.Настройка параметров интеграции Postman
Затем откройте приложение Postman и нажмите «Импорт», как показано на рисунке.
10-8. Нажмите «Выбрать файлы» и выберите файл, который мы ранее экспортировали из
Burp Suite.
153
Рисунок 10-8.Импорт коллекции в инструмент Postman
Теперь мы можем видеть запрос API, экспортированный из Burp Suite в

приложение Postman, как показано на рисунке.10-9.
Рисунок 10-9.Коллекция, импортированная в инструмент Postman
154
Тестирование безопасности мобильных приложений с
помощью Burp Suite
В предыдущем разделе мы увидели, как Burp Suite можно настроить вместе с

Postman для выполнения тестирования безопасности API. В этом разделе мы
рассмотрим, как мы можем использовать возможности Burp Suite для
тестирования безопасности мобильных приложений.
Прежде чем мы углубимся в подробности тестирования безопасности мобильных
приложений, важно понять тот факт, что Burp Suite буквально действует и служит HTTP-
прокси. Это означает, что мы можем эффективно использовать Burp Suite для тестирования
безопасности на любом устройстве или в любом приложении, взаимодействующем по
протоколу HTTP или HTTPS.
Мобильные приложения ничем не отличаются; для связи они используют один и
тот же протокол HTTP/HTTPS; следовательно, этот трафик может быть направлен через
Burp Suite, как и любое другое обычное веб-приложение. Фигура10-10показывает
клиент мобильного приложения (эквивалент браузера на ПК), который передает весь
трафик через Burp Suite на сервер приложений.
Рисунок 10-10.Подключение мобильного приложения к Burp Suite
Теперь мы посмотрим, как мы можем настроить Burp Suite для работы вместе с мобильным
приложением. Во-первых, нам нужно убедиться, что правильный прокси-сервер Burp Suite
настроен на прослушивание на всех интерфейсах. Для этого перейдите на вкладку «Прокси —
Параметры», как показано на рисунке.10-11.
155
Теперь нажмите кнопку «Добавить», и появится новое окно, как показано на
рисунке.10-12. Настройте номер порта и выберите «Привязать к адресу» как «Все
интерфейсы» и нажмите «ОК».
Теперь обратите внимание на раздел прослушивателя прокси, как показано на рисунке.10-13, в
котором указан интерфейс как «*:8080».
156
Теперь, когда мы настроили прокси-сервер Burp Suite для прослушивания
порта 8080 на всех доступных интерфейсах, мы перейдем к настройке мобильного
устройства.
Важно отметить, что для того, чтобы настроить мобильное устройство для работы с
Burp Suite, и система, на которой работает Burp Suite, и мобильное устройство должны
находиться в одной и той же логической сети. Самый простой способ добиться этого —
подключить мобильное устройство и систему, работающую под управлением Burp Suite, к
одной и той же точке беспроводного доступа. Как только мобильное устройство и система,
на которой работает Burp Suite, подключены к одной и той же сети, нам нужно настроить
параметры сети на мобильном устройстве, чтобы использовать Burp Suite в качестве
прокси.
Чтобы настроить сетевой прокси на мобильном устройстве, перейдите в «Настройки
беспроводной сети» и выберите беспроводную сеть, к которой вы подключены, как
157
Рисунок 10-14.Настройка сетевого прокси на мобильном устройстве
Теперь щелкните параметр «Прокси», и откроется новое окно конфигурации,
158
По умолчанию для сетевого прокси установлено значение «Нет». Нам нужно изменить это на
«Вручную», как показано на рисунке.10-16.
Теперь, когда мы изменили тип прокси на ручной, нам нужно

ввести IP-адрес системы, в которой работает Burp Suite, а также номер
порта, который прослушивает прокси-сервис Burp Suite, как показано
159
После настройки прокси-сервера вручную весь трафик, исходящий из
мобильного приложения, теперь будет направляться через Burp Suite. Как только
запросы находятся в Burp Suite, они могут быть изменены с помощью Repeater или
Intruder, как и любой другой обычный HTTP-запрос.
Важно отметить два момента в отношении тестирования безопасности

мобильных приложений с помощью Burp Suite:
160
1. Burp Suite может только помочь выполнить ручное тестирование
безопасности мобильного приложения и, в определенной
степени, выполнить динамическое тестирование безопасности
2. Точный процесс настройки сетевого прокси на мобильных

устройствах зависит от типа и версии операционной
системы, в которой они работают. Однако на высоком
уровне процесс будет аналогичен тому, что мы
обсуждали в этом разделе.
Рабочий процесс тестирования безопасности с Burp Suite
На протяжении всей книги мы видели все аспекты Burp Suite и его возможностей. Мы
видели различные инструменты и утилиты, которые поставляются «из коробки», а
также использование сторонних расширений, которые значительно расширяют
возможности Burp Suite.
Теперь, когда мы подошли к концу книги, стоит обобщить рабочий процесс или
подход к эффективному использованию Burp Suite для тестирования безопасности
веб-приложений.
Ниже приведен поэтапный подход, которому можно следовать для эффективного
использования Burp Suite:
1.Получите правильную установку и конфигурацию –Прежде
чем мы действительно начнем использовать Burp Suite, важно
правильно его установить и настроить.
а. Убедитесь, что используется правильный выпуск и последняя

версия Burp Suite.
б. Настройте параметры прокси браузера для работы вместе с Burp

Suite.
в. Установите сертификат ЦС Burp Suite в браузер.
161
д. Настройте аутентификацию платформы, вышестоящий прокси-сервер и socks-
прокси по мере необходимости.
е. Просмотрите и определите горячие клавиши Burp Suite.
ф. Убедитесь, что автоматическое резервное копирование проекта включено и правильно
настроено.
грамм. Убедитесь, что параметры проекта, такие как тайм-ауты, разрешение имени
хоста, запросы вне области действия, перенаправления, конфигурация TLS,
правила обработки сеансов, файл cookie и макросы, настроены по мере
необходимости.
час Убедитесь, что прослушиватель прокси настроен и работает
правильно.
я. Убедитесь, что все необходимые расширения установлены и загружены.
Дж. Убедитесь, что целевое приложение может быть исправлено с
помощью Burp Suite Infiltrator.
2.Сканирование и понимание приложения –После того, как
Burp Suite настроен соответствующим образом, важно
сканировать, просматривать и просматривать целевое
приложение, чтобы узнать о нем больше.
а. Используйте функцию сканирования в сканере для просмотра
б. Используйте функцию обнаружения контента.
в. Вручную просмотрите критически важные рабочие процессы.
д. Внимательно следите за целевой вкладкой и отслеживайте HTTP-
запросы.
е. Узнавайте и выделяйте интересные запросы с параметрами.
ф. Используйте функцию анализа цели, чтобы получить обзор
области применения.
162
грамм. Используйте инструменты взаимодействия, чтобы найти комментарии,
сценарии и ссылки.
час Отслеживайте проблемы, о которых сообщает пассивное сканирование.
3.Атака на приложение -Теперь, когда мы провели

достаточно разведки, пришло время атаковать
отдельные функции приложений.
а. Запустите задачу аудита с помощью сканера Burp Suite.
б. Найдите интересные запросы, особенно с параметрами, и

отправьте запрос на повторитель для дальнейшего
изучения.
в. Вмешайтесь и поэкспериментируйте с запросом, параметрами,
заголовками и телом, используя повторитель.
д. Если запрос и параметр необходимо протестировать против массовых
полезных нагрузок, используйте Intruder.
е. Используйте компаратор для анализа и интерпретации различий в
различных ответах.
ф. Используйте секвенсор для проверки прочности токенов.
грамм. Используйте декодер для кодирования или декодирования любого
значения параметра по мере необходимости.
час Протестируйте уязвимости Clickjacking с помощью инструмента Clickbandit.
я. Создайте доказательство концепции атаки подделки межсайтовых
запросов с помощью генератора PoC CSRF.
Дж. Используйте соавтора Burp Suite для эффективного обнаружения
внештатных уязвимостей, таких как XML-внедрение внешних
сущностей (XXE) и подделка запросов на стороне сервера (SSRF).
163
к. Отслеживайте все найденные уязвимости на панели задач
на целевой вкладке.
л. Выберите необходимые уязвимости и экспортируйте их в

HTML-отчет.
Резюме
В этой главе мы увидели, как можно использовать возможности Burp Suite для тестирования
безопасности API и мобильных приложений. Мы также обобщили рабочий процесс,
которому можно следовать, чтобы наилучшим образом использовать Burp Suite для
тестирования безопасности веб-приложений.
1. Настройте Postman для работы вместе с Burp Suite.

Перехватывайте запросы API в Burp Suite и
атакуйте их с помощью Repeater.
2. Протестируйте любое из целевых приложений, используя
полный рабочий процесс, описанный в этой главе.
164
Индекс
А необходимость,6
Опера,22
Активное сканирование,112
опции
Тестирование безопасности API, Burp Suite
Мониторы Cookie Jar,46, 47
подходы,148, 149
разрешения имени хоста,42, 43
Почтальон,149, 150, 154 интеграция с
макросы,47
почтальоном,152–154 прослушиватель
Запрос вне области,44, 45
прокси,151
перенаправления,45, 46
Программирование приложений
таймауты,42
Интерфейсы (API),1, 147
обратная связь по производительности,41
Тестирование безопасности приложений,
аутентификация платформы,33, 34
1, 4, 5 Уязвимости приложений,2–4
резервные копии проекта,39
Прокси сервер,35, 36
Б API отдыха,39–41
SOCKS-прокси,36, 37
Берп Люкс,5
системный прокси,23, 24
альтернативы,8, 9, 14
типы загрузок,12, 13
браузер,15
полезные функции,9, 10 Веб-
Сертификат ЦС,31,
сайт,16
32 Хром,19
Расширитель Burp Suite
Край,21
издания,6
API,143
BApp Store,132–136
События,16
расширения,131
Особенности,7, 8
ручная установка,136–139
Fire Fox,17, 18
настройки,140–142
горячие клавиши,37, 38
полезные расширения,142, 143
монтаж,11

С. Рахалкар,Полное руководство по Burp Suite
, https://doi.org/10.1007/978-1-4842-6402-7
ИНДЕКС
С обнаружение контента,63
определение,58
кликджекинг
искатель ссылок,62
консоль браузера,103
поиск скрипта,61
кликбандит код,104
поиск,60
пользовательский интерфейс кликбандита,104
анализатор цели,62
код,105
цель,102 ЧАС
инструмент,101
Разрешение имени хоста,42
Соавтор,99, 101
Сравнитель,86–88
Мониторы Cookie Jar,46, 47 Я, Дж, К, Л
Оптимизация сканирования
Инфильтратор
конфигурация,116
Подделка межсайтовых запросов (CSRF)
исполнительный агент,99
генерирующий агент,97, 98
инструменты взаимодействия,106
навигация,96
генератор ПОС,106–109
технологии,96
Злоумышленник
Д определение,67
Приборная доска
опции,76, 77
полезная нагрузка,73–75
Берп Люкс,49–53
должности,69–72
послать запрос,68
декодер,88, 89
Внедрение SQL/межсайтовое размещение
сценарии полезной нагрузки,68
Э, Ф, Г целевая вкладка,69
Инструменты взаимодействия
Ручное тестирование отрыжки
симулятор,65 М, Н, О
Берп Люкс,59 Тестирование безопасности мобильных приложений,
планировщик задач Burp Suite,64 Люкс «Отрыжка»
поиск комментариев,60 протокол HTTP/HTTPS,155
166
ИНДЕКС
HTTP-прокси,155 сканирование/аудит,112–114
сетевой прокси,158–161 пулы ресурсов,124

прослушиватель прокси,156 типы,111
Тестирование безопасности
П, В
рабочий процесс,161–163
Секвенсор
Полезная нагрузка,73 Берп Люкс,90
Личная информация определение,89
(ПИИ),2 HTTP-запрос,90
Прокси,27, 28, 30, 31 загрузка токенов,92
анализ идентификатора сеанса,91
р Подделка запроса на стороне сервера
(ССРФ),163
Повторитель
Срок разработки программного обеспечения
настройка детализации цели,80
Цикл (SDLC),1
приставка,80
заголовки,83 Т, У, В, Ш
параметры,82 Вкладка «Цель»
необработанный HTTP- заявление,56

запрос,81 отклик,83–85 карта приложений/
отправка HTTP-запроса,81 иерархия,54
Составление отчетов Берп Люкс,53
проблемы с экспортом,125 проблема,57
генерация,128 несколько панелей,53

выбор формата,126, 127 Запросы,55
просмотр браузера,129 запросы/ответы
уязвимость,130 зрители,55
фильтры карты сайта,58
С
Сканер Х, У, Я
Вход в приложение,123 Внедрение внешних сущностей XML
конфигурация,115–123 (ХХЕ),163
167

Руководство по Burp Suite

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Руководство по Burp Suite

Загружено:

Авторское право:

Доступные форматы

Перевод: английский - русский - www.onlinedoctranslator.

Научитесь обнаруживать приложения

ISBN-13 (пбк): 978-1-4842-6401-0 https:// ISBN-13 (электронный): 978-1-4842-6402-7

Copyright © 2021 Сагар Рахалкар

права на товарный знак.

Управляющий директор, Apress Media LLC: Велмоед Шпар

Обложка разработана eStudioCalamar

Изображение на обложке разработано Pixabay

За информацией о переводах обращайтесь по электронной почте booktranslations@springernature.com ; для перепечатки, мягкой

обложки или прав на аудио, пожалуйста, по электронной почте bookpermissions@springernature.com.

массовых продаж печатных и электронных книг по адресу http://www.apress.com/bulk-sales.

Напечатано на бескислотной бумаге.

О техническом рецензенте ���������������������������������������������������� �����������

Введение ���������������������������������������������������� ��������������������

Глава 1: Введение в Burp Suite �������������������������������������������������� ��������1

Некоторые основы безопасности приложений ��������������������������������������������������� ����������

Краткое введение в Burp Suite �������������������������������������������������� �������������������

Потребность в Burp Suite �������������������������������������������������� ���������������������

Издания ���������������������������������������������������� ���������������������������

Альтернативы Burp Suite ����������������������������������������������������� ������������������

Обзор функций высокого уровня �������������������������������������������������� �����������������

Резюме ������������������������������������������������������ ��������������������������

Упражнения ���������������������������������������������������� �������������������������

Глава 2: Настройка среды ������������������������������������������������� №11

Установка Burp Suite ���������������������������������������������������� ���������������������

Настройка уязвимого целевого веб-приложения �������������������������������������������������� ��������14

Настройка браузера ����������������������������������������������������� ���������������������

Firefox ������������������������������������������������������ �����������������������

Хром ������������������������������������������������������ ������������������������

Край ���������������������������������������������������� ��������������������������

Опера ������������������������������������������������������ �����������������������

Резюме ������������������������������������������������������ ������������������������������

Упражнения ���������������������������������������������������� �����������������������������

Глава 3. Прокси-сервер, параметры пользователя и параметры проекта ................................................................................................................27

Прокси ������������������������������������������������������ ������������������������������

Сертификат ЦС Burp Suite ������������������������������������������������ ���������������������������

Аутентификация платформы, прокси-серверы вышестоящего уровня, прокси-сервер SOCKS �������������������������33

Аутентификация платформы ���������������������������������������������������� ������������������

Верхние прокси-серверы ������������������������������������������������������ ������������������

SOCKS-прокси ���������������������������������������������������� �������������������������

Горячие клавиши ������������������������������������������������������ �������������������������

Резервные копии проектов ���������������������������������������������������� ����������������������

API для отдыха ���������������������������������������������������� ����������������������������

Отзыв о производительности ���������������������������������������������������� ���������������������

Варианты проекта ���������������������������������������������������� ��������������������������

Тайм-ауты ���������������������������������������������������� ���������������������������

Разрешения имени хоста ���������������������������������������������������� ��������������������

Запросы вне области действия �������������������������������������������������� �������������������

Перенаправления ������������������������������������������������������ ���������������������

Банка для печенья ���������������������������������������������������� �����������������������

Макросы ������������������������������������������������������ ��������������������������

Резюме ������������������������������������������������������ ������������������������������

Упражнения ���������������������������������������������������� �����������������������������

Глава 4. Инструментальная панель, целевые объекты и взаимодействие ............................................................................................................ 49

Панель управления ���������������������������������������������������� ����������������������

Вкладка «Цель» ���������������������������������������������������� ������������������������

Инструменты взаимодействия ������������������������������������������������������ ��������������

Резюме ������������������������������������������������������ ��������������������������

Упражнения ���������������������������������������������������� �������������������������

Глава 5: Злоумышленник ���������������������������������������������������� ������������

Введение в Intruder ������������������������������������������������������� �������������������

Вкладка «Цель» ���������������������������������������������������� ������������������������

Должности ��������������������������������������������������� ���������������������������

Полезная нагрузка ������������������������������������������������������ ��������������������

О техническом рецензенте ��

Введение ��

Глава 1: Введение в Burp Suite �� 1

Некоторые основы безопасности приложений ��

Краткое введение в Burp Suite ��

Потребность в Burp Suite ��

Издания ��

Альтернативы Burp Suite ��

Обзор функций высокого уровня ��

Резюме ��

Упражнения ��

Глава 2: Настройка среды �� №11

Установка Burp Suite ��

Настройка уязвимого целевого веб-приложения �� 14

Настройка браузера ��

Firefox ��

Хром ��

Край ��

Опера ��

Резюме ��

Упражнения ��

Прокси ��

Сертификат ЦС Burp Suite ��

Аутентификация платформы, прокси-серверы вышестоящего уровня, прокси-сервер SOCKS ��33

Аутентификация платформы ��

Верхние прокси-серверы ��

SOCKS-прокси ��

Горячие клавиши ��

Резервные копии проектов ��

API для отдыха ��

Отзыв о производительности ��

Варианты проекта ��

Тайм-ауты ��

Разрешения имени хоста ��

Запросы вне области действия ��

Перенаправления ��

Банка для печенья ��

Макросы ��

Резюме ��

Упражнения ��

Панель управления ��

Вкладка «Цель» ��

Инструменты взаимодействия ��

Резюме ��

Упражнения ��

Глава 5: Злоумышленник ��

Введение в Intruder ��

Вкладка «Цель» ��

Должности ��

Полезная нагрузка ��

Опции ��

Резюме ��

Упражнения ��

Повторитель ��

Сравнитель ��

Декодер ��

Резюме ��

Упражнения ��

Инфильтратор ��

Соавтор ��

Кликбандит ��

CSRF ��

Резюме ��

Упражнения ��

Глава 8: Сканер и отчеты �� 111

Типы сканирования ��

Сканирование и аудит ��

Конфигурация сканирования ��

Вход в приложение ��

Пулы ресурсов ��

Отчетность ��

Резюме ��

Упражнения ��

Глава 9: Расширение Burp Suite ��

Расширения Burp Suite ��

BApp Store ��

Ручная установка ��

Настройки ��

Другие полезные расширения ��

API ��