A Complete Guide To Burp Suite

Machine Translated by Google
Полный
Путеводитель по
Люкс «Отрыжка»
Научитесь обнаруживать приложения

Уязвимости
—
Сагар Рахалкар
Полное руководство по
Научитесь обнаруживать приложения

Уязвимости
Полное руководство по Burp Suite
Пуна, Махараштра, Индия
ISBN-13 (пбк): 978-1-4842-6401-0 ISBN-13 (электронный): 978-1-4842-6402-7
https://doi.org/10.1007/978-1-4842-6402-7
Copyright © 2021 Сагар Рахалкар

Эта работа является объектом авторского права. Все права сохраняются за Издателем, будь то весь материал или его часть, в
частности права на перевод, перепечатку, повторное использование иллюстраций, декламацию, трансляцию, воспроизведение на
микрофильмах или любым другим физическим способом, а также на передачу или хранение информации. поиск, электронная
адаптация, компьютерное программное обеспечение или аналогичная или отличающаяся методология, известная в настоящее время или
разработанная в будущем.
В этой книге могут быть использованы названия торговых марок, логотипы и изображения. Вместо того, чтобы использовать символ
товарного знака при каждом появлении имени, логотипа или изображения, зарегистрированного как товарный знак, мы используем
имена, логотипы и изображения только в редакционных целях и в интересах владельца товарного знака, без намерения нарушить
права на товарный знак.
Использование в данной публикации торговых наименований, товарных знаков, знаков обслуживания и аналогичных терминов, даже
если они не идентифицированы как таковые, не должно рассматриваться как выражение мнения о том, являются ли они объектом прав
собственности.
Хотя советы и информация, содержащиеся в этой книге, считаются верными и точными на дату публикации, ни авторы, ни редакторы,
ни издатель не несут никакой юридической ответственности за любые ошибки или упущения, которые могут быть допущены.
Издатель не дает никаких гарантий, явных или подразумеваемых, в отношении материалов, содержащихся здесь.
Управляющий директор ООО «Апресс Медиа»: Велмоэд Шпар
Редактор отдела приобретений: Дивья Моди
Редактор разработки: Лаура Берендсон
Координирующий редактор: Дивья Моди
Обложка разработана eStudioCalamar
Изображение на обложке разработано Pixabay
Распространяется в книжной торговле по всему миру компанией Springer Science+Business Media New York, 1 New York Plaza,
Suite 4600, New York, NY 10004-1562, USA. Телефон 1-800-SPRINGER, факс (201) 348-4505, электронная почта для заказов-ny@springer-
sbm.com или посетите сайт www.springeronline.com. Apress Media, LLC является калифорнийским ООО, а единственным участником
(владельцем) является Springer Science + Business Media Finance Inc (SSBM Finance Inc). SSBM Finance Inc — корпорация штата Делавэр.
За информацией о переводах обращайтесь по электронной почте booktranslations@springernature.com; для перепечатки,
мягкой обложки или прав на аудио, пожалуйста, по электронной почте bookpermissions@springernature.com.
Названия Apress можно приобрести оптом для академического, корпоративного или рекламного использования. Версии
электронных книг и лицензии также доступны для большинства названий. Для получения дополнительной информации посетите нашу
веб-страницу массовых продаж печатных и электронных книг по адресу http://www.apress.com/bulk-sales.
Любой исходный код или другие дополнительные материалы, на которые ссылается автор в этой книге, доступны читателям на
GitHub через страницу продукта, расположенную по адресу www.apress.com/978-1-4842-6401-0.
Для получения более подробной информации посетите http://www.apress.com/source-code.
Напечатано на бескислотной бумаге.

Оглавление
Об авторе �� ix
О техническом рецензенте �� xi
Введение �� xiii
Глава 1: Введение в Burp Suite �� 1
Некоторые основы безопасности приложений �� 1
Краткое введение в Burp Suite �� 5
Потребность в Burp Suite �� 6
Издания �� 6
Альтернативы Burp Suite �� 8
Обзор функций высокого уровня �� 9
Резюме �� 10
Упражнения �� 10
Глава 2: Настройка среды �� №11
Установка Burp Suite �� 11
Настройка уязвимого целевого веб-приложения �� 14
Настройка браузера �� 15
Firefox �� 17
Хром �� 19
Край �� 21
Опера �� 22
III
Глава 3. Прокси-сервер, параметры пользователя и параметры проекта ................................................................................................................27
Прокси �� 27
Сертификат ЦС Burp Suite �� 31
Аутентификация платформы, прокси-серверы вышестоящего уровня, прокси-сервер SOCKS ��33
Аутентификация платформы �� 33
Верхние прокси-серверы �� 35
SOCKS-прокси �� 36
Горячие клавиши �� 37
Резервные копии проектов �� 39
API для отдыха �� 39
Отзыв о производительности �� 41
Варианты проекта �� 41
Тайм-ауты �� 42
Разрешения имени хоста �� 42
Запросы вне области действия �� 44
Перенаправления �� 45
Банка для печенья �� 46
Макросы �� 47
IV
Глава 4. Инструментальная панель, целевые объекты и взаимодействие ............................................................................................................ 49
Панель управления �� 49
Вкладка «Цель» �� 53
Инструменты взаимодействия �� 58
Глава 5: Злоумышленник �� 67
Введение в Intruder �� 67
Вкладка «Цель» �� 69
Должности �� 69
Полезная нагрузка �� 73
Опции �� 76
Глава 6. Ретранслятор, компаратор, декодер и секвенсор ............................................................................................................ 79
Повторитель �� 79
Сравнитель �� 86
Декодер �� 88
Секвенсор�� 89
в
Глава 7: Infiltrator, Collaborator, Clickbandit и CSRF PoC

Генератор �� 95
Инфильтратор �� 95
Соавтор �� 99
Кликбандит �� 101
CSRF �� 106
Глава 8: Сканер и отчетность �� 111
Типы сканирования �� 111
Сканирование и аудит �� 112
Конфигурация сканирования �� 115
Вход в приложение �� 123
Пулы ресурсов �� 124
Отчетность �� 125
Глава 9: Расширение Burp Suite �� 131
Расширения Burp Suite �� 131
BApp Store �� 132
Ручная установка �� 136
Настройки �� 140
Другие полезные расширения �� 142
API �� 143
ви
Глава 10. Тестирование мобильных приложений и API-интерфейсов с помощью Burp Suite ................................147
Тестирование безопасности API с помощью Burp Suite �� 147
Тестирование безопасности мобильных приложений с помощью Burp Suite ��155
Рабочий процесс тестирования безопасности с Burp Suite �� 161
Индекс �� 165
VII
об авторе
Сагар Рахалкар — опытный специалист по информационной безопасности с более

чем 13-летним опытом работы в различных областях информационной безопасности.
Его область знаний в основном связана с AppsSec, расследованиями
киберпреступлений, оценкой уязвимостей, тестированием на проникновение и
IT GRC. Он имеет степень магистра компьютерных наук и несколько признанных
в отрасли сертификатов, таких как CISM, ISO 27001LA и ECSA. Более трех лет он
тесно сотрудничал с правоохранительными органами Индии, занимаясь расследованиями
цифровых преступлений и соответствующей подготовкой, и получил награды от
старших должностных лиц полиции и оборонных организаций Индии. Он также
является автором и рецензентом нескольких публикаций.
икс
О техническом рецензенте
Параг Патил (www.linkedin.com/in/

парагпатил2006) — специалист по информационной
безопасности, в настоящее время связанный с
Coupa Management Security для платформы SaaS.
Более 12 лет Параг много работал в области
цифровой криминалистики, IAM, мониторинга
безопасности/SecOps, тренингов по безопасности,
аудита соответствия требованиям безопасности,
управления уязвимостями, проникновения.
тестирование, исследование информационной безопасности и СМИБ/управление.
Он является автором тестов CIS для AWS, Azure и GCP.
Благодарность рецензента: Спасибо моим наставникам (Даттатраю Бхату,

Йогешу Патилу, Стиву О'Каллагану, Шайлешу Атли и Хансу Густавсону), которые
верили в меня и предоставили все возможные возможности для обучения и
профессионального роста в области информационной безопасности.
Спасибо Махешу Навагане, Сагару Рахалкару (автору этой книги), Адити
Сахасрабуддхе (моей сестре), Монике (моей жене) и Ире (моей дочери) за их
стремление сделать меня, возможно, самым счастливым человеком, которого я когда-
либо знал.
xi
Введение
Количество приложений растет, как и количество уязвимостей приложений. Предприятия
сместили акцент на обеспечение безопасности приложений. Несмотря на то, что
существует множество решений и продуктов для обеспечения безопасности приложений,
Burp Suite действительно является предпочтительным инструментом для многих.
Burp Suite — это простой, но мощный инструмент, используемый для обеспечения безопасности приложений.
тестирование. Он широко используется для ручного тестирования безопасности не
только веб-приложений, но и API-интерфейсов и мобильных приложений. Для
эффективного тестирования безопасности веб-приложений необходимо понимать
различные уязвимости веб-приложений; в то же время необходимо также иметь глубокое
понимание инструментов, используемых для тестирования. Эта книга поможет вам
всесторонне понять Burp Suite, чтобы ее можно было использовать именно для
выявить уязвимости.
Книга начинается с основ Burp Suite и поможет вам настроить
до тестовой среды. Следующие главы охватывают основные строительные блоки
Burp Suite и подробно знакомят вас с различными его компонентами, такими как
нарушитель, повторитель, декодер, компаратор, секвенсор и т. д. В последних главах
мы рассмотрим другие полезные функции, такие как инфильтратор, соавтор, сканер,
расширитель и использование Burp Suite для тестирования безопасности API и мобильных
приложений.
xiii
ГЛАВА 1
Введение в
Безопасность приложений сильно изменилась за последнее десятилетие или около того.
Десять лет назад найти SQL-инъекции в приложениях было проще, чем сегодня.
Приложения были более подвержены уязвимостям, поскольку у разработчиков было
меньше средств защиты и меньше осведомленности. Однако сегодня ситуация резко
изменилась. Разработчики гораздо лучше осведомлены и осведомлены о безопасности, а
элементы управления безопасностью размещаются на протяжении всего жизненного
цикла разработки программного обеспечения (SDLC), что делает конечное приложение
относительно безопасным.
Хотя процессы разработки стали более безопасными, современные
приложения не ограничиваются только сетью. Современные приложения имеют
открытые сервисы и интерфейсы прикладного программирования (API), а также мобильное
и облачное присутствие. Это явно увеличивает сложности и поверхности атаки.
Для тестировщика безопасности приложений жизненно важно найти все
возможные уязвимости во всей экосистеме приложений.
Некоторые основы безопасности приложений
Подробное рассмотрение безопасности приложений и различных уязвимостей выходит
за рамки этой книги. В этой книге мы сосредоточимся на том, как наиболее эффективно
использовать инструмент Burp Suite.
© Sagar Rahalkar 2021 1

С. Рахалкар, Полное руководство по Burp
Suite, https://doi.org/10.1007/978-1-4842-6402-7_1
Глава 1. Введение в Burp Suite
Тем не менее, мы быстро пробежимся по тому, что общего и
уязвимости приложения есть. Стандартом де-факто, на который ссылаются в отношении
уязвимостей приложений, является OWASP. OWASP расшифровывается как Open Web
Application Security Project. Последний список Топ-10 уязвимостей веб-приложений был
опубликован в 2017 году. Уязвимости следующие:
1. Внедрение . Сюда входят уязвимости, которые
используются путем отправки интерпретатору ненадежных
входных данных как части запроса или команды.
Специально созданные приемы ввода — это то, что интерпретатор
использует при выполнении команд или даже при предоставлении

несанкционированного доступа к данным. Самый распространенный
тип инъекции - это инъекция базы данных. Другие типы
включают внедрение команд операционной системы (ОС) или
внедрение LDAP и т. д.
2. Сломанная аутентификация — сюда входят
уязвимости, возникающие из-за плохой реализации функций
аутентификации и управления сессиями.
Использование таких уязвимостей может дать злоумышленникам
доступ к паролям, учетным данным, токенам сеанса, ключам и т.
д.
3. Разоблачение конфиденциальных данных — много раз,
в приложениях отсутствуют элементы управления для защиты конфиденциальных
пользовательских данных, таких как информация, позволяющая установить
личность (PII), данные о состоянии здоровья или даже финансовые данные.
Злоумышленники могут украсть такие конфиденциальные данные. Отсутствие
шифрования данных в состоянии покоя и при передаче является причиной большинства уязвимостей.
связанных с раскрытием конфиденциальных данных.
4. Внешние сущности XML — это особый тип
Уязвимость, при которой злоумышленник использует тег объекта в
документах XML для запуска нескольких атак, таких как раскрытие
конфиденциальных внутренних файлов, отказ в обслуживании,
удаленное выполнение кода и т. д.
2
5. Нарушенный контроль доступа — даже если пользователь
аутентифицированы с действительными учетными данными, может не
потребоваться доступ ко всему приложению.
Авторизация определяет, что аутентифицированный
пользователь может получить доступ. Сломанная авторизация
дает злоумышленнику несанкционированный доступ для просмотра других
учетные записи пользователей, конфиденциальные файлы или даже изменять данные
других пользователей.
6. Неправильная настройка безопасности — безопасность
Проблемы с неправильной настройкой являются наиболее
распространенными в базовой инфраструктуре, такой как веб-серверы.
Небезопасные конфигурации, учетные данные по умолчанию,
файлы резервных копий без ссылок, нежелательные службы, открытое
облачное хранилище, отсутствующие заголовки безопасности и флаги
файлов cookie, а также отсутствующие исправления безопасности — все это
относится к категории неправильной настройки безопасности.
7. Межсайтовый скриптинг . Это действительно классическая уязвимость веб-
приложений, которая так долго была частью списка OWASP. Обычно это
происходит, когда злоумышленник может внедрить и выполнить сценарий
через поле ввода приложения. Эта атака может использоваться для перехвата
пользовательских сеансов путем кражи файлов cookie, порчи веб-сайтов и т.
д. Распространенными типами межсайтового скриптинга являются постоянные,
отраженные и основанные на DOM.
8. Небезопасная десериализация. Злоумышленники могут
манипулировать процессом сериализации и десериализации
объектов, чтобы ввести вредоносную полезную нагрузку,
приводящую к выполнению кода.
3
9. Использование компонентов с известными уязвимостями .
Разработчики очень часто импортируют и используют сторонний
код, чтобы не изобретать велосипед.
Однако иногда сторонний код содержит присущие ему уязвимости.
В качестве примера можно привести использование библиотеки
OpenSSL, которая уязвима для атаки Heart Bleed.
10. Недостаточное ведение журнала и мониторинг . Довольно часто
приложениям не хватает возможностей для регистрации событий,
которые могли бы помочь в случае инцидента. При отсутствии
возможностей ведения журнала аудита и обнаружения
злоумышленники могут просто продолжать проникновение, не
будучи обнаруженными и не поднимая тревогу.
В то время как список OWASP Top 10, вероятно, является первым местом для веб-сайтов.
уязвимостей приложений, есть много потенциальных уязвимостей помимо этого
списка 10 основных. Ниже приведены некоторые из настоятельно рекомендуемых ссылок,
чтобы получить более широкое представление о тестировании безопасности приложений:
1. Руководство по тестированию OWASP .
всеобъемлющий ресурс, охватывающий множество случаев
тестирования безопасности и очень удобное справочное
руководство. Он доступен по адресу https://owasp.org/www-
project web-security-testing-guide/assets/archive/ .
OWASP_Testing_Guide_v4.pdf
2. Топ-25 ошибок программирования SANS — не только
список OWASP Top 10, SANS опубликовал список из 25 самых
опасных ошибок программирования.
Он доступен по адресу https://www.sans.org/top25-

программные ошибки
4
3. OWASP API Top 10 — Интерфейсы прикладного программирования
(API) очень широко используются в наши дни и имеют некоторые
уникальные уязвимости. OWASP опубликовал специальный список
10 основных уязвимостей API, который доступен по адресу https://
owasp.org/www project-api-security/ .
4. OWASP Mobile Top 10. Мобильные приложения имеют разные наборы
уязвимостей, а некоторые даже различаются в зависимости от типа
платформы. Тем не менее, наиболее распространенные и популярные
мобильные уязвимости доступны по адресу https://owasp.org/www-
project mobile-top-10/ .
5. OWASP IoT Top 10 – Сегодня даже домохозяйства
устройства становятся умнее и подключеннее. Такой Интернет
вещей (устройства IoT) подвержен многим уязвимостям. OWASP
опубликовал список 10 основных уязвимостей IoT, доступный по
адресу https://owasp.org/ .
www-проект-интернет-вещей/
Краткое введение в Burp Suite

Рождение Burp Suite восходит к 2004 году, когда Дафидд Штуттард оценил потребность в
надежном инструменте для тестирования безопасности веб-приложений. За последние 16 лет
инструмент стремительно развивался и добавил множество возможностей, которые приносят
пользу сообществу тестировщиков безопасности. Burp Suite, несомненно, стал предпочтительным
инструментом для тестирования безопасности веб-приложений.
Кроме того, он эволюционировал таким образом, что теперь его можно использовать для поиска
уязвимостей в API и мобильных приложениях.
5
Потребность в Burp Suite

Сегодня рынок средств сканирования и тестирования безопасности приложений быстро
растет. Существует так много доступных инструментов, как коммерческих, так и бесплатных,
от разных поставщиков, поддерживающих различные технологии и функции.
Большинство этих инструментов склонны к автоматическому сканированию программного
обеспечения для поиска уязвимостей. Это достигается либо запуском сканера после
сканирования или сканирования целевого приложения, либо интеграцией сканера непосредственно
в цикл DevOps. Хотя это, безусловно, является преимуществом и повышает эффективность
сканирования при минимальном ручном вмешательстве, существуют определенные уязвимости,
которые можно лучше понять и использовать с помощью ручного тестирования.
Ручное тестирование во многом зависит от двух факторов:
тестер и инструмент, используемый для тестирования. Такой инструмент, как Burp Suite,
значительно помогает удовлетворить потребности ручного тестирования с точки зрения
инструментов. Он предоставляет мощную и гибкую платформу, на которой тестер может
эффективно находить и использовать потенциальные уязвимости. Таким образом, для сканирования
и тестирования безопасности приложений наилучшей стратегией будет использование
комбинации как автоматического, так и ручного тестирования. Burp Suite имеет отличные
возможности ручного тестирования наряду с автоматическим сканером. Таким образом, это дает
тестировщику преимущества ручного тестирования, а также автоматического сканирования уязвимостей.
Издания
Как и большинство других инструментов, Burp Suite поставляется в разных формах. У разных
пользователей могут быть разные потребности, и один размер может не подойти всем. Принимая во
внимание различные потребности пользователей, Burp Suite поставляется в трех разных версиях.
6
1. Burp Suite Community Edition – Burp Suite
Community Edition — самая базовая версия, которая

можно загрузить и использовать бесплатно. Он поставляется с ограниченным
набор инструментов и функций для начала тестирования
безопасности веб-приложений. Если вы новичок в
безопасности приложений и хотите изучить основы, то Burp
Suite Community Edition, безусловно, является очень хорошей
отправной точкой. У него есть хорошие инструменты и
функции, необходимые для базового ручного тестирования
безопасности веб-приложений, такие как прокси-сервер перехвата,
запросы на вмешательство и ретрансляцию с использованием
повторителя, кодирование и декодирование данных и т. д.
2. Burp Suite Professional Edition . Если вы очень хорошо разбираетесь
в безопасности веб-приложений и вам регулярно приходится
тестировать приложения в рамках вашей профессии, то Burp
Suite Professional Edition определенно рекомендуется. Burp
Suite Professional Edition включает в себя множество
расширенных функций, которые значительно улучшают вашу
способность находить потенциальные уязвимости в приложениях.
Это наиболее подходящая версия для отдельных профессионалов,
которым нужны отличные возможности ручного и
автоматизированного тестирования безопасности. Некоторые из
расширенных функций включают следующее:
• Тестирование внешних уязвимостей
• Расширенные возможности грубой силы и фаззинга
• Быстрое создание эксплойтов для CSRF,
Clickjacking и т. д.
7
• Автоматическое сканирование на наличие уязвимостей
• Полезные расширения для дальнейшего расширения возможностей
обнаружения уязвимостей.
Более подробную информацию о Burp Suite Professional Edition можно найти здесь
- https://portswigger.net/burp/pro
3. Burp Suite Enterprise Edition — в то время как Burp Suite Community
Edition и Burp Suite

Professional Edition были нацелены на индивидуальное
профессионалам, Burp Suite Enterprise Edition полезен для
организаций, которые хотят интегрировать сканирование
безопасности в конвейеры программного обеспечения. В отличие
от предыдущих выпусков, в нем нет инструментов ручного

тестирования. Это издание рекомендуется для
предприятия, которым нужны решения DevSecOps.
В рамках этой книги мы расскажем о Burp Suite Professional Edition.
Альтернативы Burp Suite

Мы уже обсуждали, что рынок инструментов сканирования безопасности приложений в
значительной степени растет. Хотя Burp Suite удовлетворяет большинство потребностей в
ручном и автоматизированном тестировании, с ним конкурируют некоторые другие инструменты,

такие как те, что показаны в Таблице 1-1.
8
Таблица 1-1. Инструменты сканирования
Коммерческий Бесплатно / с открытым исходным кодом
Акунетикс ЗАП ОВАСП
Нетспаркер W3af
IBM AppScan Арахни
ВебИнспект Железная оса
Дополнительная информация и сравнительный анализ различных приложений
Инструменты для тестирования безопасности можно найти по адресу https://www.gartner.com/.

обзоры/рынок/тестирование безопасности приложений
Обзор функций высокого уровня
Burp Suite Professional Edition поставляется с широким набором функций для ручного тестирования на
проникновение, а также для автоматического сканирования. Некоторые из полезных функций включают
следующее:
1. Ручное тестирование на проникновение — перехват и подделка запросов
(HTTP / HTTPS), ручное тестирование на внеполосные уязвимости,
тестирование веб-сокетов, тестирование надежности токена, легкое
тестирование уязвимостей кликджекинга и межсайтовой подделки
запросов (CSRF).
2. Расширенные автоматизированные атаки — пассивные и активные
сканирование для поиска потенциальных уязвимостей, расширенные
возможности для грубой силы и фаззинга.
3. Продуктивность — подробный анализ сообщений, эффективные параметры
проекта, инструменты для повышения удобочитаемости кода, легкое и
простое создание отчетов об уязвимостях.
9
4. Расширения — Магазин приложений Burp Suite для установки
расширений, значительно расширяющих возможности
существующего инструмента.
Мы рассмотрим вышеперечисленные функции более подробно по ходу чтения книги.
Резюме
Мы начали эту главу с объяснения того, как развивалась безопасность приложений
за последнее десятилетие или около того. Затем мы рассмотрели некоторые из
основных уязвимостей веб-приложений. Затем мы попытались понять необходимость
такого инструмента, как Burp Suite, а также его версий и альтернатив. Наконец, мы
завершили обзор функций, предоставляемых Burp Suite Professional.
В следующей главе мы начнем с установки и настройки инструмента.
Упражнения
• Прочтите о 10 основных уязвимостях OWASP и
Подробное руководство по тестированию OWASP.
• Подробнее о возможностях всех редакций Burp Suite читайте на
официальном сайте - https://
portswigger.net/
10
ГЛАВА 2
Настройка
Окружающая среда
В последней главе мы обсудили некоторые основы безопасности приложений

и потребность в таких инструментах, как Burp Suite. В этой главе мы начнем
с настройки нашей среды для Burp Suite.
Установка Burp Suite

Прежде чем мы попытаемся установить или запустить Burp Suite, нам необходимо
убедиться, что в системе установлена Java. Это обязательное условие для
запуска Burp Suite. В системе Windows вы можете просто открыть командную
строку и ввести команду «java –
version», чтобы проверить, установлена ли Java,
как показано на рис. 2-1.
Рисунок 2-1. Проверьте, установлена ли Java

Глава 2 Настройка среды
Если в вашей системе не установлена Java, вы можете загрузить и

установите Java с https://www.oracle.com/java/technologies/javase jre8-
downloads.html
Как только мы убедимся, что Java установлена в нашей системе, мы
можем приступить к работе с Burp Suite. Сначала нам нужно загрузить Burp Suite
с https://portswigger.net/burp/releases/community/latest . как показано на рис. 2-2.
Рисунок 2-2. Типы загрузок Burp Suite
Вы заметите, что существует несколько форм загрузки Burp Suite.

Существуют отдельные установщики для Linux, Mac OSX и Windows. Также
есть возможность загрузить файл JAR, который можно использовать напрямую для
запуска Burp Suite без установки. Загрузка файла JAR — самый простой способ
начать работу. Если вы решите загрузить установщик, он ничем не отличается от
любого другого установщика программного обеспечения и устанавливает Burp
Suite за несколько кликов. Однако в обоих случаях необходимо установить Java.
После загрузки файла JAR вы можете просто дважды щелкнуть его, чтобы запустить Burp Suite.
12
Иногда при запуске больших проектов может случиться так, что Burp Suite не хватает
памяти. Чтобы решить эту проблему, можно запустить Burp Suite, выделив фиксированный объем
памяти при запуске. Это гарантирует, что после запуска не закончится память. Это можно сделать
с помощью команды «java -jar -Xmx2G /path/to/burp.jar», где 2G означает 2 ГБ памяти. Этот шаг
совершенно необязателен. Мы можем пропустить это и напрямую выполнить файл JAR, чтобы
запустить Burp Suite с конфигурацией по умолчанию.
Если все предварительные условия выполнены правильно, мы получим экран запуска, как
показано на рис. 2-3.
Рисунок 2-3. Стартовый экран Burp Suite
13
Настройка уязвимой целевой сети

Заявление
Пока мы настраиваем Burp Suite в нашей системе, важно иметь целевое
приложение, в котором вы будете использовать этот инструмент. Если вы
являетесь профессионалом, занимающимся тестированием безопасности
приложений и тестированием на проникновение, вам будет разрешено использовать
Burp Suite в тестируемом приложении. Однако, если вы только начинаете изучать
Burp Suite, вам понадобится какое-то целевое приложение, на котором вы сможете
проверить свои навыки. Помните, что запуск Burp Suite в приложении, в котором вы
не авторизованы, может вызвать проблемы с законом. Таким образом, с точки зрения
обучения важно попробовать свои навыки работы с Burp Suite только в тестовом
приложении. Существует несколько доступных альтернатив, как показано ниже:
1. Настройте магазин соков OWASP локально – OWASP

Juice Shop — это современное веб-приложение,
которое намеренно сделано уязвимым. Это может
стать отличной отправной точкой. Самый простой
способ настроить OWASP Juice Shop и запустить его
— использовать образ докера. Образ докера доступен
по адресу https://hub.docker.com/r/bkimminich/juice
shop. Вы можете просто вытащить образ и запустить его в
движке докера на любой платформе (Windows/Linux/MacOS).
2. Попробуйте онлайн-версию магазина соков OWASP –

Новичкам всегда рекомендуется создать собственную
копию Juice Shop; однако, если вы хотите быстро опробовать
его перед настройкой, вы можете попробовать онлайн-
версию по адресу https://juice-shop.herokuapp.
ком/#/
14
3. Чертовски уязвимое веб-приложение (DVWA). Другим

замечательным приложением, которое намеренно
сделано уязвимым для тестирования, является DVWA.
Вы можете быстро настроить DVWA с помощью докера
или на локальном веб-сервере. Подробные инструкции по
настройке и использованию DVWA доступны на https://github.
com/ethicalhack3r/DVWA
4. Чертовски уязвимые веб-сервисы — OWASP Juice
Shop и DVWA будет достаточно для ваших

потребностей в изучении уязвимостей веб-приложений.
Однако, если вы хотите более подробно изучить
уязвимости в веб-сервисах, то Damn Vulnerable Web
Services — хороший вариант. Более подробную

информацию о настройке и использовании можно найти на https://
github.com/snoopysecurity/dvws
Настройка браузера
Теперь, когда у нас запущен и работает Burp Suite, нам нужно настроить наш
браузер для работы с ним. Сначала давайте рассмотрим обычный сценарий
без Burp Suite на рисунке, как показано на рисунке 2-4.
Рисунок 2-4. Пользователь получает доступ к веб-сайту напрямую без Burp Suite.
15
Ссылаясь на изображение выше, на очень высоком уровне и простыми словами происходит
следующая последовательность событий:
1. Конечный пользователь открывает любой браузер по своему выбору.
2. Затем пользователь вводит URL-адрес веб-сайта, который он / она
желает просмотреть.
3. Браузер обрабатывает URL-адрес веб-сайта и отображает веб-сайт
для пользователя (в фоновом режиме происходит серия запросов и
ответов).
Теперь давайте рассмотрим другой сценарий, в котором мы настроили Burp.
Suite с браузером, как показано на рисунке 2-5.
Рисунок 2-5. Пользователь заходит на веб-сайт с помощью Burp Suite
Ссылаясь на изображение выше, на очень высоком уровне и простыми словами происходит
следующая последовательность событий:
1. Конечный пользователь открывает любой браузер по своему выбору.
2. Затем пользователь вводит URL-адрес веб-сайта, который он / она
желает просмотреть.
3. Браузер перенаправляет запрос в Burp Suite, который затем
перенаправляет запрос на целевой веб-сайт.
4. Целевой веб-сайт отвечает на запрос и
отправляет ответ обратно в Burp Suite, который затем передает
ответ для отображения в браузере.
16
Таким образом, в этом сценарии Burp Suite действует как «посредник»
между браузером и целевым веб-сайтом. Burp Suite способен перехватывать и
подделывать весь проходящий через него трафик.
Теперь мы посмотрим, как мы можем настроить самые популярные браузеры для
работа с Burp Suite.
Fire Fox
Для настройки Firefox с Burp Suite:
Перейдите в Инструменты Параметры, как показано на рис. 2-6.
Рисунок 2-6. Навигация по меню Инструменты Параметры в Firefox
В поле поиска введите ключевое слово «сеть», как показано на рис. 2-7.
и нажмите «Настройки».
17
Рисунок 2-7. Поиск «Настройки сети» в настройках Firefox
Выберите «Ручная настройка прокси», как показано на рис. 2-8, и введите

IP-адрес 127.0.0.1 (или localhost) и порт 8080.
Примечание. По умолчанию прокси-сервер Burp Suite прослушивает порт
8080. Это можно настроить, и мы увидим это в следующей главе. Однако один
и тот же номер порта должен быть введен как в браузере, так и в Burp Suite,
если вы хотите его изменить.
Рисунок 2-8. Настройка ручной настройки прокси
18
Просто нажмите «ОК» после настройки параметров прокси.
Хром
Для настройки Chrome с Burp Suite:
Нажмите на три вертикальные точки в правом углу и выберите
«Настройки», как показано на рисунке 2-9.
Рисунок 2-9. Переход к настройкам Chrome
Найдите ключевое слово «прокси», как показано на рисунке 2-10, и нажмите

«Открыть настройки прокси-сервера вашего компьютера».
Рисунок 2-10. Открытие настроек прокси в Chrome
Теперь включите опцию «Использовать прокси-сервер» и введите адрес и

номер порта, как показано на рисунке 2-11.
19
Рисунок 2-11. Настройка системного прокси
После того, как прокси настроен, просто нажмите «Сохранить».
20
Край
Для настройки Edge с Burp Suite:
Нажмите на три горизонтальные точки в правом углу и выберите «Открыть
настройки прокси», как показано на рисунке 2-12.
Рисунок 2-12. Открытие настроек прокси в браузере Edge

21
Опера
Для настройки Opera с Burp Suite:
Нажмите на настройки в правом верхнем углу и выберите опцию
«Перейдите к настройкам браузера», как показано на рисунке 2-14.
22
Рисунок 2-14. Открытие настроек браузера в Opera
В поле поиска введите прокси, а затем выберите опцию «Открыть настройки

прокси вашего компьютера», как показано на рис. 2-15.
Рисунок 2-15. Открытие настроек системного прокси

23

До сих пор мы видели, как настраивать такие браузеры, как Firefox, Chrome,
Edge и Opera для совместной работы с Burp Suite. Это просто требует
настройки опции сетевого прокси. Однако важно отметить, что после
настройки прокси-сервера браузера весь трафик, исходящий из браузера, будет
обязательно проходить через Burp Suite. Если вы работаете с несколькими
вкладками в браузере и тестируете приложение на одной вкладке,
24
получая доступ к электронной почте в другом, весь этот трафик будет направляться
через Burp Suite. Если вы хотите пропускать через Burp Suite только выборочный трафик, вам
необходимо использовать дополнительные плагины для браузера, такие как показанные на

Таблица 2-1.
Таблица 2-1. Дополнительные плагины браузера для прокси
Fire Fox Прокси SwitchyOmega, FoxyProxy
Chrome Proxy SwitchyOmega, FoxyProxy
Край Н/Д
Опера Переключатель прокси и менеджер
Вышеупомянутые плагины просты в использовании и допускают настраиваемый выборочный трафик.
пройти через Burp Suite. Использование этих плагинов совершенно необязательно.
Если вы не хотите использовать эти плагины, вы можете просто использовать два
отдельных экземпляра браузера, один для тестирования приложений, а другой для личного
использования. Или также можно выделить только необходимый трафик в Burp Suite, о чем мы
узнаем в следующей главе.
Резюме
В этой главе мы увидели, как загрузить, установить и начать работу с инструментом Burp
Suite. Затем мы изучили различные варианты, доступные для настройки уязвимых целей,
чтобы отработать навыки Burp Suite. Мы также узнали, как настроить различные браузеры
для работы с Burp Suite.
В следующей главе мы увидим, как настроить некоторые основные параметры
в Burp Suite, такие как прокси-сервер, параметры пользователя и параметры проекта.
25
• Загрузите последнюю версию Burp Suite.
• Попробуйте запустить Burp Suite из командной строки, выделив
произвольный объем памяти.
• Попробуйте и узнайте, как использовать подключаемый модуль

FoxyProxy для Firefox и Chrome.
26
ГЛАВА 3
Прокси, параметры
пользователя и параметры проект
В последней главе мы рассмотрели некоторые основы установки Burp Suite,
настройки уязвимого приложения и настройки различных браузеров для совместной
работы. В этой главе мы познакомимся с некоторыми основами прокси-сервера Burp
Suite, а также с несколькими параметрами пользователя и проекта.
Прокси
Прокси — это действительно сущность Burp Suite. Используя
функциональность прокси, Burp Suite может видеть весь трафик, проходящий через
него. В предыдущих главах мы уже видели, как Burp Suite работает как человек
посередине и помогает нам перехватывать запросы.
Чтобы сделать Burp Suite функциональным, у нас должна быть полная
конфигурация на двух разных концах. Одна часть — это настройка сетевого
прокси в браузере, который мы видели в предыдущей главе. Другая часть —
обеспечение правильной настройки прокси-сервера Burp Suite. По умолчанию, когда
мы запускаем Burp Suite, его прокси прослушивает порт 8080. В этом случае вам не
нужно делать никаких дополнительных настроек. Однако, если порт 8080 уже
используется каким-либо другим приложением в вашей системе, возникнет конфликт
портов, и прокси-служба Burp Suite не запустится. В этом случае вы можете запустить
прослушиватель прокси-сервера Burp Suite на любом другом пользовательском порту,
который еще не используется. Для этого перейдите на вкладку «Прокси», как показано на рисунке

Глава 3 Прокси, параметры пользователя и параметры проекта
Рисунок 3-1. Опция прокси в Burp Suite
Затем перейдите на вкладку «Параметры», как показано на рис. 3-2. Вы заметите, что
прокси-сервер Burp Suite по умолчанию работает на локальном хосте и порту 8080.
Рисунок 3-2. Параметры прокси
Чтобы включить прокси-сервер Burp Suite на пользовательском порту, нажмите «Добавить».
кнопку, как показано на рис. 3-3.
28
Рисунок 3-3. Добавление нового прослушивателя прокси
Теперь вы можете привязать прокси Burp Suite к любому пользовательскому
порту. После настройки пользовательского порта вы можете оставить адрес привязки
по умолчанию как «Только петля» или, если в вашей системе несколько сетевых
интерфейсов, вы можете выбрать любой из них, используя раскрывающееся меню в
опции «Конкретный адрес». .
После настройки прокси-сервера Burp Suite все готово для перехвата запросов
приложений. По умолчанию Burp Suite будет перехватывать только запросы.
В любом конкретном сценарии, если вам необходимо перехватывать и ответы, то
это можно сделать с помощью дополнительной настройки. Чтобы включить перехват
ответов, перейдите в «Прокси» «Параметры» и установите флажок «Перехватывать
ответы на основе следующих правил:», как показано на рисунке 3-4.
Рисунок 3-4. Перехват ответов сервера
29
С помощью этой опции вы можете указать различные правила, на основе которых
прокси-сервер Burp Suite будет перехватывать ответы.
Теперь, когда у нас есть конфигурация браузера вместе с прокси-сервером Burp
Suite, мы можем попытаться перехватить запрос. Перейдите к «Прокси
Перехват» и нажмите «Перехват, если выключен» (чтобы включить перехват).
Теперь в браузере введите любой URL-адрес и посмотрите на вкладку прокси в Burp
Suite, как показано на рисунке 3-5.
Рисунок 3-5. Перехват HTTP-запроса
Вы заметите, что запрос, который вы сделали из браузера, застрял в Burp Suite.
Теперь вы можете нажать «Вперед», если хотите разрешить отображение URL-адреса в
браузере. Вы можете отказаться от запроса, и браузер не загрузит URL-адрес. Если вы
отключите опцию «Перехват», то все запросы и ответы будут перехватываться в Burp
Suite без какого-либо ручного вмешательства.
В правом углу также есть возможность выделить цвет запроса, если вы хотите выделить
его по какой-либо причине вместе с комментариями.
На вкладке «История HTTP» показаны все запросы, прошедшие через Burp Suite, как
показано на рисунке 3-6.
Рисунок 3-6. История HTTP-прокси
30
История прокси фиксирует важную информацию, такую как хост, метод,

URL, параметры (если есть), статус о том, редактировался ли запрос/
подделан, код состояния HTTP, длина содержимого, тип MIME, расширения, заголовок,
IP-адрес, файлы cookie и время запроса. Это действительно огромное количество
информации для начала. Burp Suite также может захватывать трафик веб-сокетов по
умолчанию, и это можно увидеть на вкладке истории веб-сокетов.
Сертификат ЦС Burp Suite

Мы уже видели в предыдущей главе, что прокси-сервер Burp Suite работает как
человек посередине. При доступе к приложению через HTTPS через Burp Suite прокси-
сервер генерирует сертификат TLS, подписанный его центром сертификации, и
сохраняет его в клиентской системе. Чтобы наиболее эффективно использовать
Burp Suite в случае HTTPS, рекомендуется загрузить и установить сертификат ЦС
Burp Suite как доверенный в браузере.
Чтобы импортировать и установить сертификат ЦС Burp Suite, сначала убедитесь, что ваш
Браузер Firefox настроен на работу с прокси-сервером Burp Suite.
Затем в адресной строке введите URL-адрес «http://burpsuite», как показано на

рисунке 3-7.
Рисунок 3-7. Сертификат ЦС Burp Suite
Обратите внимание на правый угол «Сертификат ЦС». Нажмите на эту опцию

и загрузите файл «cacert.der», как показано на рисунке 3-8.
31
Рисунок 3-8. Загрузка сертификата ЦС Burp Suite
Затем перейдите в Инструменты Firefox Параметры и введите «сертификат» в строке
поиска, как показано на рис. 3-9.
Рисунок 3-9. Опция сертификата в Firefox
Нажмите на опцию «Просмотреть сертификаты», а затем используйте кнопку
«Импорт», как показано на рисунке 3-10 , чтобы выбрать сертификат Burp Suite, который мы ранее
загрузили.
32
Рисунок 3-10. Диспетчер сертификатов Firefox
Аутентификация платформы, восходящий прокси

Серверы, SOCKS-прокси
Аутентификация платформы
Существуют определенные сценарии, в которых приложение, размещенное на
целевом веб-сервере, защищено аутентификацией. В таком случае нам нужно

настроить учетные данные в Burp Suite. При отсутствии учетных данных Burp
Suite не сможет получить доступ к защищенной части приложения и пропустить
возможные проверки. Чтобы настроить аутентификацию платформы, перейдите к
«Параметры пользователя» «Подключения» «Аутентификация платформы», как показано на рис.
33
Рисунок 3-11. Настройка аутентификации платформы
Нажмите кнопку «Добавить», и появится всплывающее окно, как показано

на рисунке 3-12.
Рисунок 3-12. Настройка аутентификации платформы
34
Нам необходимо настроить хост назначения в виде IP-адреса или имени хоста, типа
аутентификации: Basic, NTLM V2, NTLM V1, Digest, имени пользователя и пароля и домена,
если применимо. Как только эти настройки будут записаны, Burp Suite сможет
беспрепятственно получить доступ к защищенной части приложения с помощью этих
учетных данных.
Прокси-серверы восходящего потока
При тестировании приложений в определенных сетевых средах может случиться так, что
прямой доступ к этому целевому приложению отсутствует. В таком случае нам может
потребоваться сначала подключиться к прокси-серверу, а затем подключиться к целевому
приложению. Burp Suite позволяет легко настроить вышестоящие прокси-серверы. Просто
перейдите к «Параметры пользователя Соединения Прокси-серверы вышестоящего
уровня», как показано на рисунке 3-13.
Рисунок 3-13. Настройка вышестоящих прокси-серверов
Нажмите кнопку «Добавить», как показано на рис. 3-14, и настройте
необходимые настройки прокси.
35
Рисунок 3-14. Добавление правила восходящего прокси
SOCKS-прокси
Burp Suite также позволяет выполнять все запросы на подключение через SOCKS-
прокси. Чтобы настроить Burp Suite с прокси-сервером SOCKS, перейдите к
«Параметры пользователя Соединения Прокси-сервер SOCKS», как показано на
рисунке 3-15, и настройте необходимые параметры прокси.
36
Рисунок 3-15. Добавление SOCKS-прокси
Горячие клавиши
Инструмент Burp Suite имеет множество вкладок, инструментов и опций, с которыми мы можем работать.
Мы подробно обсудим их в следующих главах. Поначалу инструменты и вкладки Burp Suite могут
показаться ошеломляющими. Но все они становятся знакомыми, когда вы начинаете их использовать. Хотя
ко всем этим инструментам и вкладкам можно получить доступ одним нажатием кнопки, иногда при работе
над проектами гораздо проще использовать сочетания клавиш, чем щелчки мышью.
Инструмент Burp Suite предлагает настройку горячих клавиш, которые ничего не значат.
но сочетания клавиш для доступа к определенным инструментам или вкладкам. Чтобы настроить горячие
клавиши, перейдите в «Параметры пользователя» «Разное» «Горячие клавиши», как показано на рис. 3-16.
Рисунок 3-16. Настройка горячих клавиш Burp Suite
37
По умолчанию горячие клавиши для общих функций в Burp Suite уже настроены.
Однако есть опция «Редактировать горячие клавиши», чтобы изменить горячие клавиши по
умолчанию или настроить горячие клавиши для дополнительных

функциональные возможности.
В Таблице 3-1 перечислены некоторые из распространенных горячих клавиш по умолчанию.
Таблица 3-1. Горячие клавиши по умолчанию в Burp Suite
Горячая клавиша Цель
Ctrl + Р Отправить на повторитель
Ctrl + я Отправить злоумышленнику
Ctrl + Ф Переадресовать перехваченный прокси
сообщение
Ctrl + Shift + T Переключиться на цель
Ctrl + Shift + P Переключиться на прокси
Ctrl + Shift + я Переключиться на нарушителя
Ctrl + Shift + R Переключиться на повторитель
Ctrl + Shift + O Перейти к параметрам проекта
Ctrl + Shift + U Декодирование URL
Ctrl + Shift + B Base-64 Декодировать
Ctrl + Б Кодировка Base-64
Помимо горячих клавиш в приведенной выше таблице, все остальные стандартные сочетания
клавиш для выделения всего текста, вырезания, копирования и вставки работают стандартным образом.
38
Резервные копии проекта
При работе над проектами с использованием Burp Suite генерируются большие объемы данных в виде
запросов и ответов. Возникает необходимость сохранять копию этих данных через равные промежутки
времени. Вместо того, чтобы выполнять эту задачу вручную, Burp Suite предлагает функцию автоматического
резервного копирования данных через определенные промежутки времени.
Чтобы включить автоматическое резервное копирование, перейдите в «Параметры пользователя» «Разное»
Автоматическое резервное копирование проекта, как показано на рисунке 3-17.
Рисунок 3-17. Настройка автоматического резервного копирования проекта
Используя эту функцию, мы можем указать продолжительность в минутах, после которой
Burp Suite автоматически запустит резервное копирование.
API отдыха
Хотя мы используем Burp Suite в основном для ручного тестирования безопасности приложений, может
быть так много других инструментов и вариантов использования, которые должны работать вместе с Burp Suite.
Могут быть другие инструменты безопасности, которые необходимо интегрировать с Burp Suite, или определенные
пользовательские сценарии автоматизации, которые должны автоматически запускать действия в Burp Suite.
39
Для всех этих целей Burp Suite предоставляет пользователям интерфейс REST API.
REST означает передачу репрезентативного состояния, а API означает интерфейс прикладного
программирования. REST API — самый популярный способ соединения различных приложений.
Чтобы включить Burp Suite REST API, перейдите в «Параметры пользователя Разное»,
как показано на рисунке 3-18.
Рисунок 3-18. Настройка интерфейса REST API Burp Suite
Чтобы включить Burp Suite REST API, просто установите флажок «Служба
запущена». REST API по умолчанию будет доступен по адресу http://127.0.0.1:1337,
как показано на рис. 3-19.
Рисунок 3-19. Интерфейс REST API Burp Suite
40
В интерфейсе REST API перечислены все поддерживаемые команды или методы,
вызываемые конечные точки, передаваемые параметры и ожидаемые ответы. Теперь это
полностью зависит от конкретного сценария или варианта использования того, как можно
использовать этот интерфейс REST API.
Отзыв о производительности
Как и в любом другом инструменте, в Burp Suite есть возможность собирать и отправлять
определенные диагностические данные, которые могут быть полезны для повышения
производительности Burp Suite. Это совершенно необязательная функция, и если она включена,
она собирает данные только о внутреннем функционировании, а не о конкретных пользователях
или данных проекта. Burp Suite также предоставляет функции для регистрации всех
исключений или сообщения об определенной ошибке команде Burp Suite.
Чтобы использовать параметры обратной связи по производительности, перейдите в «Параметры пользователя»
Разное Обратная связь по производительности, как показано на рис. 3-20.
Рисунок 3-20. Настройка обратной связи по производительности
Варианты проекта
Эти параметры включают разрешение имени хоста, запросы вне области действия,
перенаправления, конфигурацию TLS, правила обработки сеансов, файл cookie Jar. и макросы.
41
Тайм-ауты
Обработка запросов и ответов — основная функциональность Burp Suite.
Могут быть такие сценарии, как целевое приложение не работает, или есть проблемы с
подключением, когда Burp Suite должен решить, как долго он должен ждать ответа на запрос,
прежде чем отбросить его. Эти настройки определяются значениями времени ожидания. Они
настроены по умолчанию, и их можно оставить нетронутыми, если нет явной необходимости
изменить значения времени ожидания. Чтобы изменить значения времени ожидания по умолчанию,
перейдите к «Параметры проекта Соединения Время ожидания», как показано на рисунке 3-21.
Рисунок 3-21. Настройка тайм-аутов запросов
Разрешения имени хоста
Разрешение имени хоста обычно происходит с помощью либо локального файла хоста,
либо сетевого DNS. Тем не менее, Burp Suite позволяет использовать собственные
разрешения имен хостов. Это может быть полезно в определенных сценариях, когда к
приложению, размещенному в интрасети, необходимо получить доступ с использованием

определенного имени хоста или URL-адреса.
Чтобы определить собственные правила разрешения имен хостов, перейдите к
«Параметры проекта Соединения Разрешения имен хостов», как показано на рис. 3-22.
42
Рисунок 3-22. Настройка разрешения имени хоста
Нажмите кнопку «Добавить», после чего появится всплывающее окно для ввода
пользовательское имя хоста и связанный с ним IP-адрес, как показано на рис. 3-23.
Рисунок 3-23. Добавление правила разрешения имени хоста
43
Запросы вне области

Как только браузер настроен для работы с Burp Suite, Burp Suite по умолчанию будет захватывать
весь HTTP-трафик на всех вкладках. Этот трафик может быть подавляющим и отвлекающим. Из
всего перехваченного трафика нам нужно сконцентрироваться только на той цели, которую мы
тестируем. Этого можно добиться с помощью области видимости, которую мы рассмотрим в
следующей главе.
Burp Suite предоставляет возможность просто отбрасывать все запросы, выходящие за рамки. Это
можно сделать, перейдя к «Параметры проекта Соединения Запросы вне области», как показано
Рисунок 3-24. Настройка правил для запросов Out-of-Scope
Выбрав опцию «Использовать пользовательскую область», мы можем явно добавить URL-
адреса, которые мы хотим исключить из области действия, и отключить прокси-сервер, как
44
Рисунок 3-25. Определение правил для запросов Out-of-Scope
Перенаправления
Автоматическое сканирование приложений требует обработки HTTP-перенаправлений.
Механизм сканирования должен принять меры, как только обнаружит любое перенаправление страницы.
Burp Suite имеет правила перенаправления, настроенные по умолчанию, и их можно оставить
нетронутыми, если только нет явной необходимости их изменить или есть необходимость в
дополнительной настройке перенаправлений, управляемых JavaScript. Для настройки правил перенаправления
перейдите в «Параметры проекта HTTP
Перенаправления», как показано на рисунке 3-26.
45
Рисунок 3-26. Настройка перенаправления
Баночка для печенья
Любой инструмент сканирования/тестирования приложений должен поддерживать

репозиторий файлов cookie, которые он будет использовать для управления текущими
сеансами приложений. Возможность обнаружения в сеансе особенно необходима при
выполнении автоматического сканирования. Burp Suite хранит файлы cookie
приложения в контейнере под названием «Cookie Jar». По умолчанию Cookie Jar
отслеживает трафик прокси для извлечения и сохранения любых файлов cookie;
однако мы можем явно указать Burp Suite отслеживать и захватывать файлы cookie из
других инструментов, таких как Scanner, Repeater, Intruder, Sequencer и Extender.
Это можно сделать, перейдя к «Параметры проекта Сеансы Cookie Jar», как
46
Рисунок 3-27. Настройка параметров Cookie Jar
Макросы
В процессе тестирования безопасности приложения может потребоваться многократное
выполнение определенной последовательности действий. Burp Suite предоставляет
отличную функциональность макросов для достижения этой цели. Редактор макросов
доступен в «Параметры проекта Сеансы Макросы», как показано на рисунке 3-28. Вы
можете просто нажать кнопку «Добавить» и следовать указаниям мастера, чтобы записать шаги.
Рисунок 3-28. Настройка макросов
47
Резюме
В этой главе мы узнали о настройке прокси-сервера Burp Suite вместе с сертификатом CA. Затем
мы рассмотрели несколько параметров, таких как аутентификация платформы, вышестоящий
прокси-сервер, socks-прокси и т. д. Затем мы изучили несколько других полезных
конфигураций, включая горячие клавиши, резервные копии проектов, использование Burp Suite
API, параметры проекта, разрешения имени хоста, область видимости и перенаправления.
В следующей главе мы рассмотрим панель инструментов Burp Suite, вкладку target,
и инструменты взаимодействия.
• Настройте свой любимый браузер и Burp Suite для работы
на пользовательском порту прокси.
• Попробуйте установить сертификат CA Burp Suite для Chrome,
Эдж и Опера.
• Просмотрите список горячих клавиш по умолчанию и попробуйте настроить
дополнительные ярлыки по вашему выбору.
48
ГЛАВА 4
Панель инструментов,
цель и взаимодействие
Инструменты
В последней главе мы рассмотрели некоторые основы настройки прокси, параметров

пользователя и параметров проекта. В этой главе мы начнем знакомство с приборной
панелью Burp Suite, целевыми инструментами и инструментами взаимодействия.
Приборная доска
Панель инструментов, как следует из названия, является той важной частью

Burp Suite, которая, по сути, суммирует различные действия и задачи, выполняемые в
компонентах. Рисунок 4-1 показывает типичный вид панели инструментов Burp Suite.

Глава 4 Инструментальная панель, цель и взаимодействие
Рисунок 4-1. Панель инструментов Burp Suite
Для лучшего понимания разделим дашборд на четыре части
и постарайтесь подробно объяснить каждый. В учебных целях используйте
цифры от 1 до 4 на рис. 4-1.
В первой части панели мониторинга отображаются данные о текущих
сканированиях, как показано на рис. 4-2. Сканирование может быть как пассивным,
так и активным. Если запущено несколько сканирований, мы можем отфильтровать их
по состоянию: выполняется, приостановлено или завершено. Мы также можем увидеть
общую сводку проблем, обнаруженных при сканировании. Также есть возможность
создать новую задачу сканирования, которую мы рассмотрим отдельно в следующей главе.
50
Рисунок 4-2. Задачи на панели инструментов Burp Suite
Вторая часть приборной панели показана на рис. 4-3. Может случиться так,
что запущено либо пассивное сканирование, либо активное сканирование, и в любом
случае список найденных уязвимостей выделен в этом разделе. В этом разделе
также выделяется такая информация, как время обнаружения проблемы, тип проблемы,
хост или цель, на которой была обнаружена проблема, путь уязвимого URL-адреса,
серьезность проблемы и уровень достоверности. Burp Suite может помечать разные
уровни достоверности для разных проблем в зависимости от ответов; однако
проблемы требуют ручной проверки, чтобы убедиться в их достоверности.
Рисунок 4-3. Действия с проблемами на панели инструментов Burp Suite
51
Третья часть дашборда резюмирует функционал Burp Suite.
события, как показано на рисунке 4-4. В основном это состояние прокси-службы,
сбои подключения TLS (если есть), сбои аутентификации, тайм-ауты и т. д. Например,
если в вашей системе уже настроен порт 8080 для какой-либо другой службы, в этой
части панели управления будет выделен этот прокси-сервер. служба не может быть
запущена на порту 8080. Или, если по какой-либо причине служба прокси останавливается,
то она также будет выделена здесь. В целом, он дает представление о том, правильно ли
работают прокси-сервер Burp Suite и связанные с ним службы.
Рисунок 4-4. Журнал событий на панели инструментов Burp Suite
Последняя часть информационной панели, показанная на рис. 4-5 , содержит сведения
о проблеме. Если вы хотите просмотреть подробную информацию о какой-либо из проблем,
выявленных во время пассивного или активного сканирования, просто щелкните эту
проблему, как показано на рис. 4-3 , и соответствующие подробности будут доступны.
Сведения о проблеме включают полное описание проблемы и рекомендации по
исправлению, а также фактический запрос и ответ.
52
Рисунок 4-5. Подробная информация о проблеме на панели инструментов Burp Suite
Вкладка «Цель»
Как и панель инструментов Burp Suite, которую мы видели в предыдущем разделе,
вкладка «Цель» является не менее важной рабочей областью. Целевая вкладка снова
имеет несколько панелей, как показано на рис. 4-6.
Рисунок 4-6. Вкладка Target в Burp Suite
53
Чтобы понять различные части целевой вкладки, давайте возьмем одну часть за один раз.
время согласно цифрам от 1 до 6 согласно Рисунку 4-6.
Крайний левый раздел целевой вкладки с номером «1» на рис. 4-6 показан на рис. 4-7.
Этот раздел создает иерархию сайта, который мы просматриваем. В нем перечислены все
конечные узлы, папки и т. д. в виде четко определенной древовидной структуры. Это помогает
получить представление о том, насколько большим может быть сайт/приложение или что общего в
его содержании. Это очень похоже на карту сайта.
Рисунок 4-7. Карта приложений/иерархия
Следующий раздел, обозначенный цифрой 2 на рис. 4-6 , показан на рис. 4-8. В
этом разделе перечислены все HTTP-запросы, которые были сделаны, а также другие
сведения, такие как точный хост, используемый метод HTTP, целевой URL-адрес, если URL-
адрес имеет какие-либо параметры, код ответа состояния HTTP, длина содержимого, тип MIME и
заголовок. страница, если есть. Просто просмотрев этот раздел, вы сможете найти интересные
URL-адреса, особенно те, которые имеют параметры для внедрения.
54
Рисунок 4-8. Список запросов
Следующая секция с номером «3» на рис. 4-6 показана на рис. 4-9. В этом
разделе показаны фактические HTTP-запрос и ответ.
Вы можете видеть необработанный запрос по умолчанию, но также можете видеть запрос
в виде параметров. Вы также можете увидеть все заголовки, используемые в ответе.
Рисунок 4-9. Средство просмотра запросов и ответов
55
Следующий раздел, обозначенный цифрой «4» на рис. 4-6 , показан на

рис. 4-10. В этом разделе показан список проблем, обнаруженных во время
пассивного или активного сканирования. Проблемы классифицируются по степени
серьезности, при этом самые серьезные проблемы отображаются вверху.
Рисунок 4-10. Проблемы, обнаруженные в целевом приложении
Следующий раздел, обозначенный цифрой «5» на рис. 4-6 , показан на

рис. 4-11. В этом разделе отображаются сведения о любой из выбранных проблем.
Он содержит описание проблемы вместе с рекомендациями по исправлению. В
этом разделе также можно просмотреть фактический запрос и ответ, на основе
которых была выделена проблема.
56
Рисунок 4-11. Сведения о проблеме
Следующая секция с номером «6» на рис. 4-6 показана на рис. 4-12. Как
только мы настроим наш браузер для работы с Burp Suite, может быть перехвачено
много трафика. Следовательно, чтобы отфильтровать только необходимые данные,
можно использовать несколько фильтров. Некоторые общие и полезные фильтры
включают фильтрацию по типу запроса, типу MIME, коду состояния, расширению и т.

д. Эта функция также позволяет искать определенный элемент в данных, собранных
через прокси-сервер.
57
Рисунок 4-12. Фильтры карты сайта
Инструменты взаимодействия
Инструменты взаимодействия — это не что иное, как небольшие утилиты, которые помогают
выполнять некоторые дополнительные задачи в Burp Suite. В этом разделе мы рассмотрим несколько
таких инструментов вовлечения, которые служат разным целям. Чтобы получить доступ к
инструментам взаимодействия, просто щелкните правой кнопкой мыши целевой URL-адрес, для которого
вы хотите запустить инструменты взаимодействия, как показано на рисунке 4-13.
58
Рисунок 4-13. Инструменты взаимодействия с Burp Suite
Первый инструмент вовлечения — это простой поиск, как показано на рис. 4-14.
Это позволяет пользователям искать любое ключевое слово в запросах или ответах
от выбранной цели.
59
Рисунок 4-14. Инструмент поиска
Следующим инструментом взаимодействия является «Поиск

комментариев», как показано на рис. 4-15. Это просто просматривает собранные
данные и находит любые комментарии к коду. Стоит просмотреть эти
комментарии, так как всегда есть возможность найти что-то деликатное в комментариях.
Рисунок 4-15. Инструмент поиска комментариев
60
Следующим инструментом взаимодействия является «Найти сценарии», как
показано на рис. 4-16. Этот инструмент просто ищет все сценарии в пределах выбранной цели.
Рисунок 4-16. Инструмент поиска скриптов
Следующим инструментом взаимодействия является «Найти ссылки», как показано на рисунке 4-17.
Этот инструмент перечисляет все компоненты Burp Suite, где он может найти любую
ссылку на выбранную цель. Например, URL-адрес «demo.testfire.
net» появился в Scanner, а также в Target в Burp Suite, как показано на рисунке 4-17.
61
Рисунок 4-17. Инструмент поиска ссылок
Следующим инструментом взаимодействия является «Анализатор целей», как показано на рис. 4-18.
Эта утилита предоставляет статистику в основном по размеру приложения с точки зрения количества
динамических URL-адресов, количества статических URL-адресов, количества параметров и т. д. Эти
статистические данные помогают тестировщику получить оценку усилий, которые потребуются
для тестирования приложения.
Рисунок 4-18. Целевой анализатор
62
Следующим инструментом взаимодействия является «Обнаружение контента», как показано
на рис. 4-19. Этот инструмент помогает определить правила поиска или сканирования. Например,
это помогает определить правила сканирования при обнаружении новой цели, например, какая длина и
ширина должны быть просканированы или должны ли быть просканированы только файлы или каталоги.
Это создает хорошо структурированную карту сайта. Это необязательно и может быть оставлено по
умолчанию.
Рисунок 4-19. Инструмент обнаружения контента
Следующим инструментом взаимодействия является «Расписание задачи», как показано на рис. 4-20.
Это простая утилита для планирования любых задач Burp Suite. Используя это, вы можете приостановить
или возобновить любую из задач.
63
Рисунок 4-20. Планировщик задач Burp Suite
Следующим инструментом взаимодействия является «Имитатор ручного тестирования», как показано на рисунке.
на рис. 4-21. Этот инструмент будет отправлять HTTP-запросы к цели через
случайные промежутки времени и может помочь поддерживать сеанс в рабочем состоянии.
Это может быть полезно в ситуации, когда тестер находится в перерыве и существует
вероятность того, что сеанс приложения истечет по времени из-за бездействия.
64
Рисунок 4-21. Симулятор ручного тестирования
Резюме
В этой главе мы изучили основы приборной панели Burp Suite, целевой вкладки, а также
обсудили несколько полезных инструментов взаимодействия.
В следующей главе мы узнаем, как Burp Suite Intruder может
использоваться для автоматизации сценариев атак, таких как Brute Force и т. д.
• Просмотрите любой из выбранных целевых URL-адресов и
наблюдайте за изменениями на информационной панели и целевой вкладке.
• Запустите каждый из инструментов взаимодействия с выбранным
цель.
65
ГЛАВА 5
Злоумышленник
В предыдущей главе мы познакомились с некоторыми основами панели управления Burp
Suite, целевыми инструментами и инструментами взаимодействия. Теперь, когда мы
ознакомились с основами перехвата запросов и интерпретации сводки на панели
инструментов, мы перейдем к использованию инструмента Intruder. Intruder обладает
расширенными возможностями фаззинга, которые можно использовать в различных сценариях атак.
Знакомство со злоумышленником
Прежде чем мы углубимся в детали различных опций Intruder, важно понять, что
такое Intruder и как он может быть полезен при тестировании безопасности веб-приложений.
Intruder является частью Burp Suite, который можно эффективно использовать для фаззинга и
проведения атаки методом грубой силы.
Может быть приложение со страницей входа, на которой пользователю необходимо
ввести учетные данные, чтобы продолжить. С точки зрения тестирования безопасности
было бы целесообразно проверить эту страницу входа на наличие учетных данных по
умолчанию, слабых паролей или механизмов блокировки. Здесь Intruder может
пригодиться. Имея список имен пользователей и паролей, злоумышленник может
попробовать все эти комбинации, чтобы увидеть, совпадают ли какие-либо из них.
Мы также можем рассмотреть другой сценарий, в котором у нас есть интересный запрос,
который мы хотим исследовать дальше, чтобы проверить, уязвим ли он для SQL-инъекций или
межсайтовых сценариев. Опять же, Intruder может помочь с этим. Мы можем просто указать
Intruder URL-адрес и параметр, который мы хотим протестировать и передать.

Глава 5 Нарушитель
со списком полезной нагрузки SQL-инъекций или межсайтовых сценариев. Затем он попытается
вставить все полезные данные, которые мы предоставили, в параметр, который мы хотим протестировать,
и получить ответы. Как только это будет сделано, нам нужно проверить ответы, чтобы увидеть,
действительно ли какая-либо полезная нагрузка привела к эксплуатации уязвимости.
Таким образом, Intruder чрезвычайно помогает в любом из тестовых сценариев, где
у нас есть две из следующих вещей:
1. URL-адрес и параметр для проверки
2. Список полезных нагрузок, которые должны быть отправлены в параметр
Теперь попробуем понять, как мы можем отправить запрос Intruder. Мы уже видели целевую вкладку
и горячие клавиши в предыдущих главах. Любой запрос можно отправить Intruder двумя способами:
1. Щелкните правой кнопкой мыши запрос, который хотите отправить, и выберите
«Отправить злоумышленнику», как показано на рис. 5-1.
Рисунок 5-1. Отправить запрос злоумышленнику
68
2. Выберите запрос, который хотите отправить, и нажмите
комбинацию горячих клавиш «Ctrl + I».
Теперь, когда мы отправили запрос Intruder, давайте посмотрим, какие варианты
нужно настроить дальше.
Вкладка «Цель»
Первая вкладка в Intruder — это вкладка Target. В нем перечислены целевой URL-адрес и
порт, которые мы хотим атаковать через Intruder, как показано на рисунке 5-2.
Рисунок 5-2. Настройка цели атаки в Intruder
Также есть возможность использовать HTTPS, если целевой URL использует

защищенный канал связи.
Позиции
Следующая вкладка в Intruder — это вкладка Positions, как показано на рис. 5-3.
69
Рисунок 5-3. Настройка позиций в Intruder
Всякий раз, когда запрос отправляется Intruder, он сканирует запрос на возможные

точки вставки и помечает их как переменные, предшествующие знаку '$' и
заканчивающиеся им. Существует три варианта выбора точек вставки:
1. Добавить $ — эта опция используется для добавления новой вставки.
точка. Просто наведите курсор на начало и конец точки

вставки и нажмите «Добавить $».
2. Очистить $ — эта опция просто удалит все

точки вставки, выбранные вручную или автоматически.
3. Auto $ — эта опция будет сканировать запрос и пытаться

автоматически устанавливать точки вставки, помечая их
знаком «$».
Когда мы уверены в точках вставки или параметрах, на которые мы хотим

нацелиться, следующим шагом будет выбор типа атаки. Доступны четыре
различных типа атак, как показано на рис. 5-4.
70
Рисунок 5-4. Выбор типа атаки в Intruder
Четыре типа атаки следующие:
1. Снайперская . Этот тип атаки использует один набор

полезная нагрузка. В этом случае Intruder вставляет полезные
данные сразу в каждую из точек вставки, а затем перебирает
их.
2. Таран . Этот тип атаки использует один набор полезных нагрузок.

В этом случае Intruder перебирает полезные нагрузки,
вставляя одну и ту же полезную нагрузку сразу во все точки
вставки.
3. Вилы . Этот тип атаки использует несколько наборов
полезной нагрузки. В этом случае Intruder использует
разную полезную нагрузку для каждой точки вставки.
71
4. Кассетная бомба . Этот тип атаки использует несколько
наборов полезной нагрузки. Для каждой из определенных
точек вставки существует свой набор полезных данных.
Злоумышленник перебирает каждый из наборов полезной
нагрузки, после чего проверяются все варианты
комбинаций полезной нагрузки. Из-за количества возможных

перестановок и комбинаций в случае кассетной бомбы
будет сгенерировано большое количество запросов.
Выбор правильного типа атаки зависит от сценария атаки и количества точек
вставки, которые должны быть нацелены одновременно.
См. рис. 5-5.
Рисунок 5-5. Тип атаки и позиции в Intruder
После настройки позиций полезной нагрузки и выбора типа атаки
выбрано, мы можем перейти к настройке фактических полезных нагрузок.
72
Полезная нагрузка
Полезная нагрузка — это данные, которые Intruder итеративно вставляет в выбранные
точки вставки. Полезные нагрузки могут сильно различаться в зависимости от сценария
или атаки, на которую мы нацелены. В случае страницы входа, которую мы обсуждаем,
полезной нагрузкой будет список возможных паролей. Burp Suite предоставляет различные
типы полезной нагрузки, наиболее часто используемым из которых является список. Вы
можете создать свой собственный список, добавляя элементы по одному, как показано на рис.
5-6 , или вы также можете выбрать готовый список, который предлагает Burp Suite.
Рисунок 5-6. Выбор полезной нагрузки в Intruder
Burp Suite имеет несколько предопределенных списков в виде имен пользователей,
паролей, коротких слов, фаззинга полезной нагрузки для SQL-инъекций и межсайтового
скриптинга, каталогов, расширений и т. д. В зависимости от типа атаки мы можем либо
использовать предопределенный список, либо создать наш собственный список, как показано
73
Рисунок 5-7. Выбор полезной нагрузки Intruder из различных вариантов
Теперь, когда мы настроили позиции, а также полезные нагрузки, мы

можем начать атаку, нажав кнопку «Начать атаку». Появится новое окно, как
показано на рисунке 5-8, и предоставленные нами полезные данные будут
отправлены в точки вставки, которые мы определили ранее — по одному запросу за раз.
74
Рисунок 5-8. Результаты атаки злоумышленника
На Рисунке 5-8 мы видим, что Злоумышленник отправил пять запросов, каждый с

другая полезная нагрузка. Наблюдая и сравнивая длину контента, мы можем
заметить, что для полезной нагрузки «admin» ответ был другим. Следовательно,
это может быть пароль для пользователя-администратора, в которого мы пытаемся
войти. Затем мы можем легко проверить это, вручную войдя в целевое приложение.
75
Опции
Последней частью Intruder является вкладка «Параметры». Мы уже видели, что Intruder работает
как инструмент фаззинга или может выполнять атаку грубой силы.
Это означает, что движку Burp Suite придется отправлять большое количество запросов, ждать
ответов, а затем обрабатывать их на основе предопределенного набора правил. Опция «Обработчик
запросов», показанная на рис. 5-9.
помогает настроить количество параллельных потоков, количество повторных попыток при сбое
сети и паузу перед продолжительностью повторной попытки. Значения, показанные на рис. 5-9 ,
установлены по умолчанию и предварительно настроены. Однако в зависимости от конкретных
случаев использования эти значения могут быть изменены соответствующим образом.
Рисунок 5-9. Параметры конфигурации злоумышленника
Злоумышленник отправляет большое количество запросов к цели вместе с несколькими
перестановками и комбинациями полезной нагрузки. Ответы могут быть ошеломляющими. Именно
здесь пригодится функция «Grep Match», как показано на рис. 5-10. С помощью этой функции мы можем
настроить движок Intruder, чтобы помечать или выделять интересные ответы, содержащие ключевые
слова.
76
такие как ошибка, исключение, незаконный, сбой, стек, доступ, каталог и т. д.

Если злоумышленник найдет эти ключевые слова в любом из ответов, они будут
явно выделены, что значительно упростит анализ.
Рисунок 5-10. Извлечение соответствующих данных из результатов Intruder
Резюме
В этой главе мы узнали об использовании инструмента Intruder для проведения атак
методом фаззинга и грубой силы. Мы начали главу с изучения того, как отправлять
запросы Intruder, настраивать позиции, полезные нагрузки и, наконец, запускать атаку
и интерпретировать результаты. Мы также видели некоторые настраиваемые параметры
для Intruder.
В следующей главе мы познакомимся с некоторыми дополнительными полезными инструментами в
Burp Suite, такой как Repeater, Comparer, Decoder и Sequencer.
77
1. Используйте Intruder для обнаружения межсайтового скриптинга
уязвимость в любом из уязвимых приложений.
2. Используйте Intruder для обнаружения уязвимости SQL-инъекций в
любое из уязвимых приложений.
78
ГЛАВА 6
Повторитель, Сравнитель,
Декодер и
Секвенсор
В предыдущей главе мы узнали о том, как Intruder можно использовать для фаззинга и
выполнения атак методом грубой силы. В этой главе мы рассмотрим еще некоторые
инструменты Burp Suite, такие как Repeater, Comparer, Decoder и Sequencer.
Повторитель
Repeater, как следует из названия, — это простой инструмент в Burp Suite,

который помогает воспроизводить запросы. Мы уже видели в предыдущих главах,
что когда мы просматриваем приложение через Burp Suite, перехватывается большое
количество запросов. Не все перехваченные запросы могут быть полезны для
дальнейшего тестирования или анализа. Однако может быть несколько запросов с
интересными параметрами, на которые стоит потратить время для дальнейшего анализа.
Репитер помогает именно в этом сценарии. Если мы обнаружим, что конкретный
запрос заслуживает дальнейшего изучения, мы можем просто отправить его в Repeater.
Оказавшись в Repeater, мы можем играть с запросом так, как мы хотим; подделывать
его заголовки, параметры и т.д.; а затем отправьте запрос в приложение и посмотрите,
как оно ответит. Повторитель — это очень простой, но мощный инструмент с простым
интерфейсом, как показано на рис. 6-1.

Глава 6 Повторитель, компаратор, декодер и секвенсер
Рисунок 6-1. Консоль повторителя
Вкладка Repeater доступна напрямую в Burp Suite. По умолчанию он

открывается пустым, и нам нужно передать ему соответствующие данные HTTP-
запроса. Чтобы указать цель, щелкните значок «Изменить» рядом с «Целью», и
появится новое окно, как показано на рисунке 6-2, где мы можем ввести сведения о
хосте и порте, с которыми мы хотим взаимодействовать.
Рисунок 6-2. Настройка сведений о цели в повторителе
80
Более удобный способ отправки данных на повторитель показан на рис.

Рисунок 6-3. Просто щелкните правой кнопкой мыши любой из запросов, которые вы хотите
отправить в повторитель для дальнейшего анализа, и нажмите «Отправить в повторитель». Другой
альтернативой является просто выбрать запрос, который будет отправлен ретранслятору, и нажать
горячую клавишу 'Ctrl + R'.
Рисунок 6-3. Отправка HTTP-запроса на повторитель
Теперь запрос на исследование отправляется повторителю, как

показано на рис. 6-4. Вкладка запроса содержит выбранный нами HTTP-запрос,
а вкладка ответа пуста, поскольку мы еще не отправили запрос.
Рисунок 6-4. Необработанный HTTP-запрос в повторителе
81
Окно запроса содержит несколько вкладок, как показано на рис. 6-5.
Одна из вкладок — «Параметры», в которой перечислены все параметры, связанные
по умолчанию с загруженным нами запросом. Мы можем редактировать существующие
параметры, добавлять новые параметры или даже удалять любые существующие
параметры. Всегда интересно посмотреть, как приложение реагирует на все эти
изменения параметров.
Рисунок 6-5. Вкладка параметров в повторителе
Следующая вкладка — это вкладка «Заголовки», как показано на рисунке 6-6, в которой перечислены
все заголовки по умолчанию, которые должны быть отправлены вместе с запросом. Опять же, все значения
заголовков доступны для редактирования: мы можем редактировать существующие значения, добавлять
новые поля заголовков, а также удалять любые существующие поля заголовков.
82
Рисунок 6-6. Вкладка «Заголовки» в Repeater
Установив необходимые параметры и значения заголовков, мы можем

нажать кнопку «Отправить», как показано на рис. 6-7 , и получить ответ от
приложения, который отображается на вкладке «Ответ».
Рисунок 6-7. Вкладка «Ответ» в повторителе
83
В этом случае полученный ответ был HTTP-статусом 302, что означает, что страница
предназначена для перенаправления. Мы можем щелкнуть опцию «Следовать за перенаправлением»
и затем получить окончательный ответ, как показано на рисунке 6-8.
Рисунок 6-8. Вкладка «Ответ» в повторителе
Показанный здесь ответ представляет собой необработанный текст, и иногда его
трудно интерпретировать. Следовательно, мы можем щелкнуть вкладку «Визуализация» в
разделе «Ответ», чтобы визуально загрузить ответ, как если бы мы видели его в браузере,
Рисунок 6-9. Рендеринг ответа в Repeater
84
Repeater также предоставляет возможность просмотра ответа в реальном
браузере. Для этого просто щелкните правой кнопкой мыши ответ, который вы хотите
увидеть в браузере, и выберите «Показать ответ в браузере», как показано на рис. 6-10.
Рисунок 6-10. Просмотр ответа в Браузере
Burp Suite откроет другое окно, как показано на рис. 6-11, со ссылкой, которую
необходимо скопировать в браузер.
Рисунок 6-11. Показать ответ в браузере
Как только ссылка, сгенерированная Burp Suite, скопирована в браузере, ответ
будет отображаться соответствующим образом.
85
Сравнитель
В последнем разделе мы познакомились с инструментом Repeater. После того, как запрос
отправлен повторителю, существует широкий спектр возможностей для изменения параметра
запроса или полей заголовка и отправки его целевому приложению. Ответы в каждом случае
могут различаться в зависимости от того, какие параметры или поля заголовка были заданы в
запросе. Ответов может быть несколько, каждый из них выглядит очень похоже. Здесь
пригодится инструмент Comparer.
Comparer просто сравнивает контент напрямую и выделяет различия, если таковые имеются. Чтобы
отправить ответ в Comparer, просто щелкните ответ правой кнопкой мыши и выберите «Отправить в
Comparer», как показано на рис. 6-12.
Рисунок 6-12. Отправка ответа ретранслятора компаратору
Теперь, когда компаратору требуется как минимум два текстовых блока для сравнения, мы
отправить еще один ответ в Comparer, как показано на рисунке 6-13.
86
Рисунок 6-13. Отправка ответа ретранслятора компаратору
Теперь мы можем перейти на вкладку Comparer, как показано на рис. 6-14 и
см. оба ответа, которые мы отправили от Repeater ранее.
Рисунок 6-14. Консоль сравнения
Теперь, поскольку нам нужно найти различия в словах из обоих
ответов, мы нажимаем кнопку «Слова» и открываем новое окно, как показано на рис. 6-15.
87
Рисунок 6-15. Сравнение ответов в Comparer
Comparer теперь выделяет изменения текста в двух параллельных

окна.
Декодер
Веб-приложения обычно используют различные схемы кодирования, такие как
Ascii, HTML, Base 64 и т. д. С точки зрения тестирования безопасности очень часто
встречаются такие закодированные строки во время тестирования. Burp Suite
Decoder — это простая утилита, которая может кодировать или декодировать текст в
формате URL, HTML, Base 64, ASCII hHx, Hex, Octal, Binary и Gzip. Просто перейдите на
вкладку «Декодер», как показано на рис. 6-16 , и введите текст, который необходимо
расшифровано.
Рисунок 6-16. Декодирование данных Base 64
88
В этом случае мы ввели значение в кодировке Base 64, а затем нажали
на «Декодировать как» Base 64, чтобы получить декодированный вывод в следующем окне как
админ: админ.
Мы также можем использовать этот инструмент для кодирования любого простого текста, как показано на рис. 6-17.
Рисунок 6-17. Кодирование данных с помощью Burp Suite Decoder
Мы просто ввели обычный текст <script>alert("XSS")</script>, а затем нажали «Кодировать
как» URL-адрес, чтобы получить закодированный вывод в следующем окне.
Секвенсор
Веб-приложения во многом зависят от токенов, идентификаторов сеансов или других
подобных уникальных и случайных идентификаторов. С точки зрения безопасности важно
проверить случайность или уникальность этих токенов и идентификаторов. Если токены
недостаточно надежны и случайны, злоумышленники могут легко взломать их и получить
несанкционированный доступ.
Burp Suite Sequencer — это инструмент, который помогает нам тестировать
надежность токенов приложений. Мы можем отправить любой запрос в Sequencer, просто
щелкнув запрос правой кнопкой мыши и выбрав «Отправить в Sequencer», как показано на
рисунке 6-18.
89
Рисунок 6-18. Отправка HTTP-запроса в Sequencer
Теперь мы можем перейти на вкладку Sequencer, как показано на рисунке 6-19.
Рисунок 6-19. Секвенсор Burp Suite
Мы можем ясно видеть, что Sequencer автоматически проанализировал запрос.

и выбрал токен JSESSIONID, присутствующий в файле cookie. Теперь этот токен
будет проанализирован на предмет его силы и случайности. Чтобы начать тест,

просто нажмите «Начать захват в реальном времени», и откроется новое окно, как
90
Рисунок 6-20. Анализ идентификатора сеанса с использованием Sequencer
Начнется захват в реальном времени, и мы можем приостановить или возобновить
его в любое время. Однако важно отметить, что для эффективного анализа силы токена
следует учитывать размер выборки не менее 100. После завершения захвата Sequencer
показывает нам результат, который в данном случае был признан «отличным». Таким
образом, токен JSESSIONID является сильным, уникальным, случайным и, следовательно,

безопасным для использования.
Sequencer также позволяет нам загружать образцы токенов вручную, а затем
анализировать их. Для этого просто перейдите на вкладку «Ручная загрузка» в Sequencer,
91
Рисунок 6-21. Ручная загрузка токенов для анализа
Теперь мы можем скопировать и вставить образец токенов, а затем проанализировать их
соответствующим образом.
Резюме
В этой главе мы увидели, как подделывать и воспроизводить запросы с помощью Repeater, а затем
выполнять непосредственное сравнение ответов с помощью Comparer.
Затем мы узнали об инструменте «Декодер», который помогает кодировать и декодировать текст в
различных форматах. Наконец, мы познакомились с инструментом Sequencer, который можно
использовать для оценки эффективности токенов.
В следующей главе мы узнаем о некоторых дополнительных полезных инструментах в
Burp Suite, таких как Infiltrator, Collaborator, Clickbandit и CSRF.
PoC-генератор.
92
1. Отправьте любой из запросов в Repeater и попытайтесь

изменить его параметры и поля заголовка.
Затем отправьте каждый из запросов и проанализируйте
ответы.
2. Сравните несколько ответов с помощью Comparer.
3. Используйте инструмент Декодер для кодирования текста в URL, HTML,
и форматы Base 64.
4. Оцените надежность маркера любого из перехваченных

запросов.
93
ГЛАВА 7
Инфильтратор, Соавтор,
Кликбандит и
PoC-генератор CSRF
В предыдущей главе мы рассмотрели некоторые инструменты Burp Suite,
такие как Repeater, Sequencer, Decoder и Comparer. В этой главе мы продолжим
изучение более полезных инструментов, таких как Infiltrator, Collaborator,
Clickbandit и генератор CSRF PoC (доказательство концепции).
Инфильтратор
Burp Suite Infiltrator — это инструмент, который настраивает целевое веб-приложение,
чтобы обнаружение уязвимостей с помощью сканера Burp Suite стало более
эффективным и точным. Infiltrator вносит необратимые изменения в код и, по сути,
подключается к целевому приложению. Таким образом, сканер Burp Suite получает
больше информации о коде приложения и потенциально обнаруживает небезопасные
вызовы и функции.

Глава 7 Infiltrator, Collaborator, Clickbandit и PoC-генератор CSRF
Поскольку Infiltrator вносит необратимые изменения в целевое приложение

код, рекомендуется запускать его только для тестового экземпляра, а не для
производственного экземпляра. В настоящее время Infiltrator поддерживается, если
целевое приложение использует одну из следующих технологий:
• Ява
• Отличный
• Скала
• Другой язык JVM (версии JRE 1.4–

1.8)
• С#
• Visual Basic
• Другой язык .Net (версии .Net выше 2.0)
Чтобы начать работу с Infiltrator, щелкните меню Burp, а затем

выберите «Burp Infiltrator», как показано на рисунке 7-1.
Рисунок 7-1. Переход к Burp Suite Infiltrator
Появится новое окно, как показано на рисунке 7-2. Этот мастер поможет нам
создать агент Infiltrator.
96
Рисунок 7-2. Создание агента Infiltrator
Нам нужно выбрать технологию, которую использует наше приложение, например Java или
.NET и нажмите «Далее». Затем мастер спросит место, где мы
хотите сохранить агент Infiltrator, как показано на рисунке 7-3.
97
Далее мастер просто сгенерирует агент Infiltrator и сохранит его в
место, которое мы выбрали ранее, как показано на рисунке 7-4.
Здесь важно отметить, что агент Infiltrator должен находиться в
тот же каталог, где находится целевое приложение, как показано на рис. 7-5.
Рисунок 7-5. Недавно сгенерированный агент Infiltrator
Теперь, когда и агент Infiltrator, и целевое приложение находятся в одном каталоге, мы
можем открыть командную строку и ввести команду «java -jar burp_
infiltrator.jar», как показано на рисунке 7-6.
98
Рисунок 7-6. Выполнение агента Infiltrator
Infiltrator теперь будет запускать и модифицировать Java-приложения в

каталог. Это одноразовая процедура, и приложение необходимо перезапустить
после того, как исправленный код станет доступен. Burp Infiltrator также
использует Collaborator, о котором мы поговорим в следующем разделе.
Соавтор
Collaborator — это инструмент, предоставляемый Burp Suite, который помогает
в таких атаках, как подделка запросов на стороне сервера (SSRF) или любых
внеполосных атаках. Сервис Burp Suite Collaborator помогает, генерируя
случайные полезные нагрузки в виде имен хостов. Затем эти полезные нагрузки
можно использовать как часть запросов в различных сценариях атак. Если атака
успешна, то происходит взаимодействие между целевым сервером приложений и
сервером Burp Collaborator. Затем, используя клиент Burp Collaborator, мы можем
опросить и проверить, произошли ли такие взаимодействия.
Чтобы начать работу с Burp Collaborator, просто щелкните меню Burp и
выберите «Клиент Burp Collaborator». Появится новое окно, как показано на
рисунке 7-7.
99
Рисунок 7-7. Клиент Burp Suite Collaborator
Теперь нажмите кнопку «Копировать в буфер обмена» и вставьте ее значение в

блокнот, как показано на рисунке 7-8.
Рисунок 7-8. Настройка клиента Collaborator
100
Случайное значение, сгенерированное Burp Collaborator, теперь может
использоваться в качестве полезной нагрузки в запросах, отправляемых в
рамках атаки. Клиент Burp Collaborator автоматически опрашивает сервер Collaborator
каждые 60 секунд, чтобы проверить, было ли какое-либо взаимодействие. Эту
продолжительность можно настроить или просто нажать кнопку «Опросить сейчас»,

чтобы вручную проверить взаимодействие с соавтором.
кликбандит
Clickjacking — одна из самых распространенных атак на веб-приложения. Используя кликджекинг,
злоумышленник пытается заставить пользователя щелкнуть что-то, что отличается от того, что
пользователь видит визуально. В случае успеха злоумышленник может получить доступ к
конфиденциальной информации. Clickjacking также известен как атака с исправлением пользовательского
интерфейса, поскольку злоумышленник пытается использовать обманную технику создания поддельного
пользовательского интерфейса, а затем обманом заставляет жертву выполнять вредоносные действия или события.
Burp Suite предлагает утилиту Clickbandit, которая значительно упрощает
процесс создания Proof-of-Concept для приложения, уязвимого для Clickjacking.
Чтобы начать работу с инструментом Clickbandit, просто перейдите в меню Burp
и нажмите «Burp Clickbandit». Появится новое окно, как показано на рисунке 7-9.
Рисунок 7-9. Инструмент Burp Suite Clickbandit
101
В этом окне перечислены шаги, которые нам необходимо выполнить, чтобы
сгенерировать доказательство концепции кликджекинга. Первый шаг — нажать
кнопку «Копировать Clickbandit в буфер обмена». Следующим шагом является открытие
браузера и нажатие функциональной клавиши F12 для входа в консоль браузера, как
Рисунок 7-10. Цель для Clickbandit
Чтобы продолжить, нам нужно вставить код Clickbandit в это
консоль браузера, которую мы скопировали ранее, как показано на рисунке 7-11.
102
Рисунок 7-11. Копирование кода Clickbandit в консоли браузера
Как только код будет скопирован в консоль браузера, просто нажмите Enter.
и вы заметите, что пользовательский интерфейс Burp Clickbandit появляется в верхней части
страницы, как показано на рисунке 7-12.
103
Рисунок 7-12. Пользовательский интерфейс Clickbandit
Теперь нам нужно выполнить и записать действия, которые мы хотим

включить в состав атаки Clickjacking. После выполнения всех необходимых
действий нажмите кнопку «Сохранить», и вы сможете сохранить файл с именем
«clickjacked.html», как показано на рис. 7-13.
Рисунок 7-13. Сохранение кода Clickbandit
104
Теперь вы можете открыть файл clickjacked.html отдельно в браузере.
Рисунок 7-14. Выполнение кода Clickbandit
Вы заметите, что действия, которые вы зафиксировали ранее, теперь
воспроизводится, и если вы нажмете, вы получите сообщение «Вас
взломали!» как показано на рис. 7-15.
Рисунок 7-15. Выполнение кода Clickbandit
105
CSRF
Подделка межсайтовых запросов, широко известная как CSRF, — это еще один тип атаки на
веб-приложения, который использует недостатки управления сеансом, чтобы заставить
жертву выполнять нежелательные действия. В Burp Suite есть утилита, которая упрощает
создание Proof-of-Concept для CSRF-уязвимости.
Сначала нам нужно определить и подтвердить запрос, для которого мы хотим
сгенерировать код CSRF Proof-of-Concept. Как только запрос будет завершен, просто
щелкните его правой кнопкой мыши, перейдите в «Инструменты взаимодействия» и
нажмите «Создать CSRF PoC», как показано на рисунке 7-16.
Рисунок 7-16. Отправка запроса генератору CSRF PoC
Теперь появится новое окно, как показано на рисунке 7-17, в котором есть запрос POST
вместе с кодом CSRF.
106
Рисунок 7-17. PoC-генератор CSRF
Теперь легко изменить код CSRF по мере необходимости, а затем мы можем

либо напрямую протестировать его в браузере, либо сгенерировать отдельный
HTML-файл. Чтобы протестировать код CSRF в браузере, нажмите кнопку
«Проверить в браузере», и появится новое окно, как показано на рис. 7-18.
107
Рисунок 7-18. PoC-генератор CSRF
Теперь нажмите кнопку «Копировать», откройте браузер и вставьте в
адресную строку, как показано на рисунке 7-19.
Рисунок 7-19. Проверка CSRF PoC в браузере
108
Теперь нажмите на кнопку «Отправить запрос», и код CSRF получит
выполняется, как показано на рис. 7-20.
Рисунок 7-20. Проверка CSRF PoC в браузере
Резюме
В этой главе мы узнали об использовании Intruder для инструментирования
приложений и расширении возможностей обнаружения Burp Scanner.
Затем мы увидели Burp Collaborator, который можно эффективно использовать во
внеполосных атаках, таких как SSRF. Затем мы рассмотрели инструмент Clickbandit,
который помогает генерировать код проверки концепции для приложений, уязвимых для
кликджекинга; и, наконец, мы рассмотрели генератор PoC CSRF, который помогает нам
быстро генерировать и тестировать код проверки концепции для атак с подделкой
межсайтовых запросов.
В следующей главе мы увидим возможности автоматизированного сканирования
и отчетности Burp Suite.
109
1. Используйте Infiltrator для инструментирования любого из ваших целевых
Java-приложений.
2. Найдите уязвимый запрос CSRF и попытайтесь сгенерировать доказательство
концепции с помощью генератора PoC CSRF.
3. Сгенерируйте код подтверждения концепции кликджекинга для
ваше целевое веб-приложение.
110
ГЛАВА 8
Сканер
и отчетность
В последней главе мы узнали о различных инструментах, таких как
Infiltrator, Collaborator, Clickbandit и PoC-генератор CSRF. В этой главе мы
рассмотрим функции и возможности сканера Burp Suite для автоматического
обнаружения уязвимостей.
Типы сканирования
На протяжении всей книги мы видели несколько возможностей Burp Suite, полезных
для ручного тестирования. Однако Burp Suite также предоставляет сканер уязвимостей
веб-приложений, который автоматизирует процесс поиска уязвимостей. Это
действительно очень многофункциональный сканер, способный обнаруживать
потенциальные веб-уязвимости.
Burp Suite предлагает два типа сканирования: пассивное сканирование и
активное сканирование. Пассивное сканирование по умолчанию работает в
фоновом режиме, пока мы просматриваем приложение через Burp Suite. Пассивный сканер
просто отслеживает трафик и пытается перечислить уязвимости, такие как
отсутствующие флаги безопасности в файлах cookie, отсутствующие заголовки
безопасности, трафик, отправляемый по незашифрованным каналам связи и т. д. Таким
образом, пассивный сканер не пытается внедрить какие-либо полезные нагрузки ни в
одну из вставок. точки, а просто выделить уязвимости, которые можно найти только
путем пассивного мониторинга текущих запросов и ответов. Активное сканирование идет дальше и

Глава 8 Сканер и отчетность
пытается вставить полезную нагрузку в точки вставки и проверить, не уязвимы ли
параметры. Активное сканирование — более интенсивный метод; однако он лучше справляется
с поиском уязвимостей, которые пассивный сканер может никогда не найти.
Теперь мы рассмотрим детали выполнения активного сканирования с помощью Burp Suite.
Сканирование и аудит
Активное сканирование обычно представляет собой двухэтапный процесс. Первый
шаг включает в себя обход или сканирование приложения, а второй шаг — атаку
параметров с помощью полезной нагрузки. Сканер Burp Suite предлагает два варианта:
сканирование и аудит или просто сканирование. Чтобы начать новый аудит, перейдите на
вкладку «Информационная панель» и нажмите «Новое сканирование», как показано на рис. 8-1.
Рисунок 8-1. Новая задача проверки
Появится новое окно, как показано на рисунке 8-2. Мы выбираем вариант
«Сканирование и аудит». Далее нам нужно указать целевой URL-адрес, который мы хотим
сканировать. В этом случае мы вводим целевой URL как «demo.testfire.net».
112
Рисунок 8-2. Новая конфигурация сканирования
Далее следует раздел обзора, как показано на рис. 8-3. URL-адреса, которые мы
хотим включить в аудит, должны быть указаны на вкладке «Включенные префиксы
URL-адресов», и если есть какие-либо конкретные URL-адреса, которые мы не
хотим включать в аудит, их необходимо явно указать. добавлено в раздел
«Исключенные префиксы URL».
113
Рисунок 8-3. Новая конфигурация сканирования
Теперь, когда мы настроили целевой URL-адрес, нам просто нужно

нажать «ОК», и сканирование и аудит начнутся, как показано на рис. 8-4.
Однако важно отметить, что это действие начнется с конфигурации
сканирования по умолчанию.
Рисунок 8-4. Выполняются задачи сканирования
114
В следующем разделе мы рассмотрим настройку конфигурации
сканирования.
Конфигурация сканирования
В предыдущем разделе мы настроили и инициировали задачу сканирования и аудита для
целевого URL-адреса, но с параметрами конфигурации по умолчанию. В этом разделе
мы рассмотрим, как настроить конфигурацию сканирования в соответствии с нашими
потребностями. Чтобы настроить конфигурацию сканирования, щелкните вкладку
«Конфигурация сканирования», как показано на рис. 8-5.
Рисунок 8-5. Конфигурация сканирования
Конфигурация сканирования позволяет нам настраивать параметры сканирования, а также
настройки аудита. Сначала мы рассмотрим настройки конфигурации обхода.
Нажмите кнопку «Создать» и выберите «Сканирование». Появится новое окно, как показано
115
Рисунок 8-6. Настройки оптимизации сканирования
Конфигурация оптимизации сканирования позволяет нам установить максимальное

глубина ссылки, до которой мы хотим сканировать, вместе со стратегией сканирования,
которая по умолчанию установлена на обычную. Мы можем изменить стратегию
сканирования на быструю, выбрав ее в раскрывающемся меню в зависимости от
конкретного сценария сканирования.
Затем мы можем настроить ограничения времени сканирования, как показано на рис. 8-7.
Если целевое приложение большое и сложное, сканирование может занять много времени.
Мы можем установить ограничение на это, определив максимальное время, которое мы хотим
потратить на сканирование приложения. Мы также можем ограничить сканирование количеством
обнаруженных местоположений или максимальным количеством запросов, сделанных во время
функции сканирования.
Рисунок 8-7. Конфигурация ограничения сканирования
116
Следующий параметр конфигурации связан с функциями входа в систему, т.к.
показано на рис. 8-8. Может случиться так, что целевое приложение имеет функцию входа в
систему. В таком случае Burp Suite даже попытается зарегистрировать нового тестового пользователя.
Рисунок 8-8. Настройка функции входа
Следующий параметр конфигурации связан с обработкой ошибок приложения.
во время сканирования, как показано на рис. 8-9. Ошибки приложения могут быть вызваны
несколькими причинами, такими как сбой аутентификации, проблемы с сетью и т. д. Этот
параметр конфигурации указывает сканеру Burp Suite приостановить сканирование и функцию
аудита, если имеется определенное количество последовательных ошибок приложения.
117
Рисунок 8-9. Настройка ошибок приложения во время обхода
Следующий набор настроек конфигурации разнообразен, как показано на

рис. 8-10. Это включает в себя настройки того, хотим ли мы, чтобы сканер Burp Suite
автоматически отправлял формы, или мы хотим настроить пользовательский агент,
если мы хотим получить robots.txt и карту сайта и т. д.
118
Рисунок 8-10. Различные настройки сканирования
Следующий набор параметров конфигурации связан с функцией аудита.
Начнем с того, что первым параметром конфигурации аудита является «Оптимизация аудита»,
как показано на рис. 8-11. Этот параметр позволяет настроить скорость и точность аудита.
Скорость аудита может быть установлена как быстрая, нормальная или тщательная, а точность
аудита может быть установлена как нормальная или для сведения к минимуму ложных
срабатываний.
119
Рисунок 8-11. Конфигурация оптимизации аудита
Следующий параметр конфигурации аудита связан с типом проблем, о

которых сообщается, как показано на рисунке 8-12. Сканер Burp Suite обнаруживает
множество проблем. Однако во время определенного тестового сценария может
случиться так, что нужно будет протестировать только определенный тип проблемы. В
таком случае не стоит тратить время на тестирование всех других типов проблем.
Следовательно, этот параметр конфигурации позволяет нам настроить тип проблем,
которые мы хотим проверить во время сканирования.
120
Рисунок 8-12. Типы проблем, которые должны быть обнаружены во время аудита
Следующий параметр конфигурации аудита связан с обработкой ошибок

приложения во время функции аудита, как показано на рис. 8-13. Мы уже видели
подобный параметр конфигурации для функции сканирования. Этот параметр
помогает настроить количество сбоев, после которых задача аудита будет
приостановлена.
121
Рисунок 8-13. Настройка ошибок приложения во время аудита
Следующий параметр конфигурации аудита связан с типом вставки

точки, которые мы хотим, чтобы сканер Burp Suite атаковал во время
функции аудита, как показано на рисунке 8-14. Выбор всех типов точек вставки
увеличит вероятность обнаружения большего количества уязвимостей, но в то же
время для завершения аудита потребуется больше времени.
Рисунок 8-14. Настройка типов точек вставки
122
Все параметры конфигурации сканирования и аудита, которые мы видели до сих пор,
по умолчанию имеют оптимальные значения. Мы можем быстро запустить новую задачу
сканирования и аудита, используя конфигурацию сканирования по умолчанию. Однако в
зависимости от конкретных сценариев сканирования может потребоваться настроить
параметры конфигурации сканирования.
Вход в приложение
Следующим важным параметром конфигурации сканирования является настройка
«Вход в приложение», как показано на рис. 8-15. При сканировании целевого приложения
мы можем столкнуться с определенными страницами, не требующими аутентификации,
в то время как может быть несколько страниц, доступ к которым возможен только после
аутентификации. Если мы хотим, чтобы сканер Burp Suite также проверял страницы после
аутентификации, нам необходимо предоставить учетные данные.
Рисунок 8-15. Настройка входа в приложение

123
Учетные данные можно добавить, просто нажав кнопку «Создать» и
предоставление необходимого имени пользователя и пароля.
Пулы ресурсов
Последним параметром конфигурации сканирования является «Пул ресурсов», как
показано на рис. 8-16. Пул ресурсов помогает определить системные ресурсы, которые будут
использоваться для выполнения нескольких задач. По умолчанию создается пул ресурсов,
который позволяет выполнять не более 10 одновременных запросов. Мы можем оставить это
значение по умолчанию, если только мы не хотим выполнять многозадачность в одном и том же
проекте Burp Suite.
Рисунок 8-16. Настройка пулов ресурсов
124
Составление отчетов
Сообщать о проблемах в презентабельном формате так же важно, как и находить их.
Burp Suite предлагает отличную функцию создания отчетов, которая помогает нам
создать отчет в требуемом формате со всеми соответствующими выдержками об
уязвимости. Созданный отчет может быть передан соответствующим заинтересованным

сторонам для дальнейших действий.
После завершения обхода и аудита все проблемы, обнаруженные во время
сканирования, перечислены на панели «Активность проблем», как показано на рис.
8-17. Теперь нам просто нужно выбрать вопросы, которые мы хотим включить в
отчет. Для этого просто щелкните правой кнопкой мыши проблему, о которой необходимо
сообщить, и выберите «Сообщить о проблеме».
Рисунок 8-17. Экспорт проблем в отчет
Мастер отчетов Burp Suite спросит нас о формате отчета, который мы хотим
получить, как показано на рисунке 8-18. В настоящее время Burp Suite поддерживает
создание отчетов в форматах HTML или XML.
125
Рисунок 8-18. Выбор формата отчета
Далее нам нужно выбрать, какие сведения о проблеме требуются в

отчет, как показано на рисунке 8-19.
Рисунок 8-19. Выбор типа деталей для включения в отчет
Затем нам нужно выбрать, нужны ли нам полные HTTP-запросы и

ответы для сообщаемых проблем или только соответствующие выдержки, как
126
Рисунок 8-20. Выбор форматов запросов и ответов для отчета
Наконец, нам нужно выбрать имя и место, где мы хотим

отчет, который необходимо сгенерировать, вместе с заголовком отчета, как
127
Рисунок 8-21. Настройка места, где будет сохранен отчет

Теперь мастер отчетов Burp Suite будет генерировать уязвимость
отчет, как показано на рис. 8-22.
Рисунок 8-22. Создание отчета

128
Сгенерированный отчет можно просмотреть в любом из браузеров, как

показано на рис. 8-23. В отчете приводится сводка результатов, основанная на
достоверности, а также серьезности.
Рисунок 8-23. Просмотр отчета в браузере
В отчете также подробно показаны уязвимости вместе с соответствующими

запрос и ответ, как показано на рисунке 8-24.
129
Рисунок 8-24. Сведения об уязвимости в отчете
Резюме
В этой главе мы узнали о сканере Burp Suite и о том, как его можно настроить для эффективного
поиска уязвимостей приложений в автоматизированной среде.

способ.
В следующей главе мы увидим, как использовать Burp Suite Extender для
установить дополнительные плагины и расширить возможности.
1. Сканируйте любое из целевых веб-приложений, используя
функцию сканирования и аудита Burp Suite.
2. Создайте отчет в формате HTML о проблемах, обнаруженных
во время сканирования.
130
ГЛАВА 9
Расширение Burp Suite

В прошлой главе мы узнали о сканере Burp Suite, который эффективно помогает
автоматизировать обнаружение уязвимостей. В этой главе мы рассмотрим функцию
расширения Burp Suite, с помощью которой мы можем еще больше расширить возможности
Burp Suite.
Расширения Burp Suite

До сих пор на протяжении всей книги мы видели различные возможности Burp Suite
как для ручного, так и для автоматического обнаружения уязвимостей. Мы изучили
различные инструменты и утилиты в Burp Suite, которые можно использовать для
конкретных задач.
Burp Suite теперь больше похож на платформу, которая достаточно гибкая.
для размещения внешних функций и утилит. Как мы уже видели, Burp Suite предоставляет
множество возможностей из коробки.
Однако эти возможности можно расширить с помощью расширений.
Расширения Burp Suite бывают разных форм, как показано ниже:
Расширения по умолчанию — эти расширения перечислены
по умолчанию готов к любой установке Burp Suite и может
быть установлен через расширитель Burp Suite.
Расширения Pro — это расширения, которые
может быть установлен и запущен только на Burp Suite

Professional Edition.

Глава 9 Расширение Burp Suite
Обычные расширения — это расширения, которые можно установить
и запустить в сообществе Burp Suite.

издание, а также профессиональное издание.
Другие расширения — Burp Suite открыл API-интерфейсы,
которые разработчики могут писать с помощью новых
пользовательских расширений. Такие расширения не являются

частью официального магазина расширений, но их необходимо скачать.
и устанавливается вручную.
BApp Store
Самый простой способ установить расширение в Burp Suite — через BApp Store. Чтобы
получить доступ к BApp Store, просто перейдите к Extender BApp Store, как показано на рис. 9-1.
Рисунок 9-1. BApp Store
BApp Store имеет очень простой в использовании интерфейс с двумя панелями, как
132
Рисунок 9-2. BApp Store
На левой панели перечислены все доступные расширения, а также следующие

Информация:
• Имя расширения,
• Независимо от того, установлено ли оно в данный момент или нет,
• Рейтинг расширения,
• Популярность расширения,
• Дата последнего обновления расширения,
• Доступно ли расширение для использования только с Burp Suite

Professional Edition или его можно использовать и в Community
Edition.
На правой панели содержится подробная информация о любом из расширений,

которые мы выбираем на левой панели. Сюда входит следующая информация:
• Подробная информация о том, что представляет собой расширение и как оно может
использоваться
• Автор
• Версия расширения
133
• Источник
• Дата последнего обновления расширения.
• Рейтинг и популярность расширения
• Кнопка «Установить», чтобы установить и добавить расширение в
текущая настройка Burp Suite
Важно отметить, что новые расширения продолжают добавляться в
BApp Store на регулярной основе. Чтобы убедиться, что список расширений является
последним, просто нажмите кнопку «Обновить список», как показано на рисунке 9-3.
Рисунок 9-3. Просмотр расширений в BApp Store
Вот некоторые из полезных расширений из BApp Store:
• Active Scan++ — это расширение разработано для дальнейшего
расширения возможностей пассивного и активного сканирования
Burp Suite.
• Дополнительные проверки сканера — это расширение добавляет
еще несколько проверок для пассивного сканера, такого как XSS на основе
DOM и т. д.
• Сканер CSRF — это расширение помогает пассивно сканировать
уязвимости, связанные с подделкой межсайтовых запросов (CSRF).
134
• Откройте для себя обратную табуляцию – это расширение
ищет HTML-код для возможного Tabnabbing

уязвимости.
• Проверка сообщений об ошибках — это расширение помогает пассивно обнаруживать
любые сообщения об ошибках или исключениях, которые могут содержать
конфиденциальную информацию, такую как трассировка стека.
• Анализатор заголовков — это расширение пассивно проверяет заголовки
ответов и помечает все отсутствующие заголовки безопасности,
такие как X-XSS-Protection, X-Frame-Options и
многое другое.
• HTML5 Auditor — это расширение проверяет, использовались ли какие-
либо потенциально небезопасные функции HTML5, такие как
хранение конфиденциальных данных в хранилище на стороне
клиента, геолокация клиента и т. д.
• J2EEScan — это расширение помогает улучшить тестовое покрытие для
приложений J2EE, а также добавляет дополнительные тесты .

случаи.
• Сканер десериализации Java — это расширение добавляет
к способности Burp Suite обнаруживать уязвимости десериализации

Java.
• Безопасность JavaScript — это расширение дополнительно добавляет несколько
пассивных проверок, связанных с безопасностью JavaScript, таких как проблемы
DOM, совместное использование ресурсов между источниками (CORS) и т. д.
• Retire.js — это расширение пассивно отслеживает трафик и обнаруживает
использование любой уязвимой сторонней библиотеки вместе с
необходимыми данными CVE.
• SameSite Reporter — это расширение проверяет, установлен ли

атрибут SameSite в файлах cookie или нет.
135
• Отчет о версии программного обеспечения — это расширение пассивно
анализирует трафик и сообщает все сведения о версии программного
обеспечения. Эта информация может дополнительно помочь в применении

перечисление.
• Upload Scanner — это расширение добавляет в Burp Suite
возможности для обнаружения функций загрузки файлов и

связанных с ними уязвимостей.
• Сканер обмана веб-кэша — это расширение сканирует приложение
на наличие любой уязвимости обмана веб-кэша.
• Аудитор CSP — это расширение сканирует ответ.
заголовки и проверяет правильность настройки Content

Security Policy (CSP).
• Калькулятор CVSS — это расширение облегчает оценку

уязвимостей с использованием методологии CVSS из Burp
Suite.
Ручная установка
В предыдущем разделе мы увидели, как мы можем просматривать, выбирать и
устанавливать расширения с помощью BApp Store. Не все написанные расширения
доступны в BApp Store. Могут быть расширения, написанные отдельными авторами,
опубликованные на разных сайтах, таких как GitHub и т. д.

В таком случае, когда расширения нет в BApp Store, нам нужно скачать его отдельно
и установить вручную. Чтобы установить расширения вручную, перейдите на

вкладку «Расширения» в Extender, как показано на рис. 9-4.
136
Рисунок 9-4. Добавление расширений вручную
Burp Suite допускает установку сторонних расширений в следующих

форматах, как показано на рисунке 9-5.
• Ява
• Питон
• Рубин
Рисунок 9-5. Выбор типа расширения
Другие параметры включают в себя, хотим ли мы показать вывод и

ошибки после установки расширения на консоли или хотим сохранить их в
файл, как показано на рисунке 9-6.
137
Рисунок 9-6. Добавление расширений вручную
Чтобы установить расширение, выберите тип расширения (Java/Python/Ruby)

а затем просто найдите и выберите место на диске, где находится
расширение, как показано на рис. 9-7.
138
Рисунок 9-7. Выбор файла расширения
Если установка расширения завершена успешно, появится сообщение

отображается, как показано на рис. 9-8.
Рисунок 9-8. Загрузка расширений вручную
139
Настройки
Теперь, когда мы увидели, как устанавливать расширения либо через BApp Store, либо
вручную, давайте рассмотрим некоторые дополнительные настройки, связанные с

расширениями.
• Доступ к настройкам можно получить, выбрав «Расширитель
Варианты», как показано на рисунке 9-9. Первые два параметра
определяют, хотите ли вы автоматически перезагружать
расширения при запуске Burp Suite и хотите ли вы автоматически
обновлять расширения при запуске.
Рисунок 9-9. Параметры BApp Store
Следующая настройка связана со средой Java. Большинство расширений
написаны на Java. Чтобы гарантировать правильную работу этих расширений, может
потребоваться указать путь к любым дополнительным зависимостям библиотеки, как
140
Рисунок 9-10. Настройка среды Java
Следующая настройка связана с настройкой среды Python. Для некоторых
расширений требуется интерпретатор Python, реализованный на Java, который называется Jython.
Jython можно загрузить и установить с https://www.jython.

орг/скачать. После установки вам необходимо обновить путь к каталогу
установки Jython, как показано на рисунке 9-11.
Рисунок 9-11. Настройка среды Python
Последняя настройка связана с настройкой среды Ruby. Как мы

видели ранее, Burp Suite также поддерживает расширения, написанные на
Ruby; поэтому нам нужно указать путь к интерпретатору Ruby, как показано
на рис. 9-12. Чтобы запустить расширение Burp Suite, написанное на Ruby,
необходимо загрузить и установить JRuby с https://www.jruby.org/.
скачать.
141
Рисунок 9-12. Настройка среды Ruby
Другие полезные расширения
Ранее в этой главе мы уже видели несколько полезных расширений, доступных в
BApp Store. Поскольку Burp Suite предоставляет разработчикам интерфейс прикладного
программирования (API), легко писать и разрабатывать собственные расширения по
мере необходимости. Вот несколько дополнительных полезных расширений,
которые можно установить в Burp Suite вручную.
• когда- нибудь – это расширение можно скачать с
https://github.com/linkedin/sometime. Это расширение
пассивно отслеживает трафик, чтобы проверить, уязвимо ли
приложение для выполнения метода того же источника.
• burp-suite-gwt-scan — это расширение может быть
скачал с https://github.com/augustd/
отрыжка-люкс-gwt-сканирование - Это
расширение помогает автоматически определять
точки вставки для запросов GWT (Google Web Toolkit) при
их отправке активному Scanner или Burp Intruder.
• Искатель панели администратора — это расширение может быть
скачал с https://github.com/moeinfatehi/
Панель администратора_Finder -Это расширение помогает в
142
перечисление интерфейсов администрирования инфраструктуры и
приложений, которые могли быть оставлены открытыми по ошибке.
• Pwnback — это расширение можно загрузить с
https://github.com/P3GLEG/PwnBack. Это расширение помогает
восстановить старые и архивные версии приложения, если они
есть. Может быть полезно сравнить старую и текущую версии
приложения, чтобы проверить изменения и связанные с ними
уязвимости.
• Сапер — это расширение можно загрузить с https://github.com/
codingo/Minesweeper. -Это расширение помогает обнаруживать
скрипты, загружаемые из более чем 23000 вредоносных доменов
майнинга криптовалюты (криптоджекинг).
Дополнительный и исчерпывающий список расширений Burp Suite см. на странице
https://github.com/snoopysecurity/awesome-burp-extensions.
API
На протяжении всей этой главы мы видели использование Extender для добавления
и установки новых расширений, которые значительно улучшают возможности Burp
Suite. Burp Suite предлагает еще одну полезную функцию в виде интерфейса прикладного
программирования (API). С помощью этих API можно писать собственные расширения. Список
доступных API и подробное руководство по их использованию доступны на вкладке
«Расширитель API», как показано на рис. 9-13.
143
Рисунок 9-13. API расширителя Burp Suite
Резюме
В этой главе мы познакомились с расширителем Burp Suite, который позволяет
расширять возможности Burp Suite за счет внешних расширений. Мы изучили BApp
Store, в котором есть список множества полезных расширений, а также научились
устанавливать расширения вручную, если их нет в BApp Store. Наконец, мы
перечислили несколько дополнительных расширений помимо официально
представленных в BApp Store.
В следующей главе мы увидим, как мы можем использовать Burp Suite.
возможности для тестирования мобильных приложений и API. Мы также
увидим полный рабочий процесс тестирования приложения с помощью Burp Suite.
144
1. Используйте BApp Store для установки расширений, обсуждаемых
в этой главе.
2. Выполните активное сканирование целевого приложения.
перед установкой расширений и после установки расширений.

Обратите внимание на разницу в
уязвимости, обнаруженные в обоих сканированиях.
3. Изучите дополнительные расширения, описанные в этой главе,
и попробуйте установить их вручную.
145
ГЛАВА 10
Тестирование мобильных
приложений и API с помощью Burp

Люкс
В прошлой главе мы узнали о функции расширителя Burp Suite, которая позволяет
расширять возможности Burp Suite с помощью сторонних расширений. В этой последней
главе мы рассмотрим, как можно использовать Burp Suite для тестирования API и мобильных
приложений. Мы закончим кратким описанием рабочего процесса тестирования любого веб-
приложения с использованием Burp.

Люкс.
Тестирование безопасности API с помощью Burp Suite
На протяжении всей этой книги мы изучали различные возможности Burp Suite, которые
можно использовать для тестирования безопасности веб-приложений.
Однако сегодняшние современные приложения более совместимы и взаимосвязаны.
Это достигается за счет использования интерфейсов прикладного программирования
(API).

Глава 10. Тестирование мобильных приложений и API с помощью Burp Suite
Открытие API значительно помогает в автоматизации задач; однако в то же время он также
создает риски безопасности, если не реализован безопасным образом. Хотя большинство уязвимостей
веб-приложений относится к API, есть несколько уязвимостей, специфичных для API. OWASP
опубликовал список 10 основных уязвимостей для API, который можно найти по адресу https://
owasp.org/www-project-api-security/.
Подход к тестированию безопасности API через Burp Suite очень
похожи на обычные веб-приложения, которые мы видели до сих пор в книге. Поскольку
API взаимодействуют по протоколу HTTP/HTTPS, трафик может быть перехвачен и изменен
в Burp Suite, как и любой другой обычный запрос и ответ веб-приложения. Для тестирования
безопасности API с помощью Burp Suite мы можем использовать один из следующих подходов:
1. Просканируйте приложение обычным способом и определите
из конечных точек, принадлежащих API. После определения
конечных точек API соответствующие запросы могут быть
отправлены повторителю или злоумышленнику для дальнейшего
тестирования.
2. Во многих случаях API-интерфейсы вызываются через функции
пользовательского интерфейса (UI) в приложении. В таком
случае вы можете просто создать новую задачу «Сканирование и
аудит» в сканере Burp Suite и убедиться, что все проверки и
задачи сканера выполнены.
3. Может быть набор API, которые не вызываются напрямую из
какого-либо пользовательского интерфейса. Такие API часто
тестируются вручную с помощью таких инструментов, как
Postman. Мы можем легко интегрировать Postman с Burp Suite
для захвата всего необходимого трафика API. Как только
необходимые API-запросы и ответы будут в Burp Suite, останется
только протестировать их с помощью Repeater или Intruder, если
это необходимо.
148
Теперь мы посмотрим, как мы можем интегрировать Postman с Burp Suite. Почтальон
— популярный инструмент, используемый для ручного тестирования API. Его
можно скачать с https://www.postman.com/downloads/. Интерфейс приложения

Postman показан на рис. 10-1.
Рисунок 10-1. Инструмент Почтальон
Чтобы настроить Postman для работы вместе с Burp Suite, нажмите
параметр «Настройки» в правом верхнем углу, как показано на рисунке 10-2.
Рисунок 10-2. Переход к настройкам в инструменте Postman
149
Откроется новое окно настроек, как показано на рисунке 10-3.
Теперь перейдите на вкладку прокси и выберите «Добавить пользовательскую
конфигурацию прокси» и введите адрес прокси-сервера как адрес машины, на
которой запущен Burp Suite (обычно localhost или 127.0.0.1), и порт как 8080 или тот, на
котором мы хотим прослушиватель прокси-сервера Burp Suite, на котором он будет активен.
Рисунок 10-3. Настройка прокси в Postman tool
Теперь, когда мы закончили настройку на стороне Postman, нам нужно убедиться,
что правильная конфигурация прокси-сервера также выполнена на стороне Burp Suite.
Чтобы убедиться, что в Burp Suite настроен правильный прокси-сервер, перейдите на
вкладку «Прокси» и выберите «Параметры», как показано на рисунке 10-4, и убедитесь,
что IP-адрес и номер порта соответствуют тому, что было настроено ранее в
Почтальон.
150
Рисунок 10-4. Настройка прокси-слушателя Burp Suite
Как только Postman и Burp Suite настроены для совместной работы,

весь трафик, генерируемый Postman, теперь будет проходить через Burp
Suite. Это очень похоже на то, как мы настроили наши браузеры для работы с Burp
Suite.
Теперь, когда мы увидели, как настроить Postman для работы вместе с
Burp Suite, мы увидим, как работает обратная сторона; то есть как мы экспортируем
данные из Burp Suite в Postman для выборочного тестирования?
В то время как Burp Suite Repeater и Intruder служат большинству целей
для выполнения тестирования безопасности API может возникнуть
необходимость протестировать конкретный API в интерфейсе Postman. В
таком случае можно экспортировать запрос API из Burp Suite в инструмент Postman.
Для экспорта запроса API из Burp Suite в Postman нам потребуется
установить расширение под названием «Postman Integration». Просто перейдите
на вкладку «Расширитель», откройте «BApp Store» и установите расширение
«Postman Integration», как показано на рис. 10-5.
151
Рисунок 10-5. Установка расширения Postman Integration в Burp

Suite через BApp Store
После установки расширения:
1. Перейдите на вкладку Цель,
2. Выберите запрос, который вы хотите экспортировать в Postman,
3. Щелкните правой кнопкой мыши запрос, который необходимо экспортировать,
4. Выберите опцию «Экспортировать как коллекцию почтальона»,
Рисунок 10-6. Экспорт запросов в Burp Suite как коллекцию Postman
152
Появится новое окно, как показано на рисунке 10-7. Введите необходимое

Имя коллекции и имя папки и нажмите кнопку «Экспорт». Затем коллекция
будет экспортирована и сохранена в указанном месте.
Рисунок 10-7. Настройка параметров интеграции Postman
Затем откройте приложение Postman и нажмите «Импорт», как показано на

рис. 10-8. Нажмите «Выбрать файлы» и выберите файл, который мы ранее
экспортировали из Burp Suite.
153
Рисунок 10-8. Импорт коллекции в инструмент Postman
Теперь мы можем увидеть запрос API, экспортированный из Burp Suite в

Приложение Postman, как показано на рисунке 10-9.
Рисунок 10-9. Коллекция, импортированная в инструмент Postman
154
Тестирование безопасности мобильных приложений
с помощью Burp Suite
В предыдущем разделе мы увидели, как Burp Suite можно настроить вместе с Postman для выполнения
тестирования безопасности API. В этом разделе мы рассмотрим, как мы можем использовать
возможности Burp Suite для тестирования безопасности мобильных приложений.
Прежде чем мы углубимся в подробности тестирования безопасности мобильных
приложений, важно понять тот факт, что Burp Suite буквально действует и служит HTTP-прокси. Это
означает, что мы можем эффективно использовать Burp Suite для тестирования безопасности на любом
устройстве или в любом приложении, взаимодействующем по протоколу HTTP или HTTPS.
Мобильные приложения ничем не отличаются; они используют один и тот же HTTP/HTTPS
протокол для связи; следовательно, этот трафик может быть направлен через Burp Suite, как и любое
другое обычное веб-приложение. Рисунок 10-10 показывает клиент мобильного приложения
(эквивалент браузера на ПК), который передает весь трафик через Burp Suite на сервер приложений.
Рисунок 10-10. Подключение мобильного приложения к Burp Suite
Теперь мы посмотрим, как мы можем настроить Burp Suite для работы вместе с
мобильное приложение. Во-первых, нам нужно убедиться, что правильный прокси-сервер Burp
Suite настроен на прослушивание на всех интерфейсах. Для этого перейдите к Прокси
Вкладка «Параметры», как показано на рисунке 10-11.
155
Теперь нажмите кнопку «Добавить», и появится новое окно, как показано на рисунке.
на рис. 10-12. Настройте номер порта и выберите «Привязать к адресу» как «Все интерфейсы» и нажмите
«ОК».
Теперь обратите внимание на раздел прослушивателя прокси, как показано на рис. 10-13, который
перечисляет интерфейс как «*: 8080».
156
Теперь, когда мы настроили прокси-сервер Burp Suite для прослушивания порта

8080 на всех доступных интерфейсах, мы перейдем к настройке мобильного
устройства.
Важно отметить, что для того, чтобы настроить мобильное устройство для работы с
Burp Suite, и система, на которой работает Burp Suite, и мобильное устройство должны
находиться в одной и той же логической сети. Самый простой способ добиться этого
— подключить мобильное устройство и систему, работающую под управлением Burp
Suite, к одной и той же точке беспроводного доступа. Как только мобильное устройство
и система, на которой работает Burp Suite, подключены к одной и той же сети, нам нужно
настроить параметры сети на мобильном устройстве, чтобы использовать Burp Suite в
качестве прокси.
Чтобы настроить сетевой прокси на мобильном устройстве, перейдите в
«Настройки беспроводной сети» и выберите беспроводную сеть, к которой вы
подключены, как показано на рис. 10-14.
157
Рисунок 10-14. Настройка сетевого прокси на мобильном устройстве
Теперь нажмите на опцию Proxy, и откроется новое окно конфигурации.

откройте, как показано на рис. 10-15.
158
По умолчанию для сетевого прокси установлено значение «Нет». Нам нужно изменить это на
«Вручную», как показано на рис. 10-16.
Теперь, когда мы изменили тип прокси на ручной, нам нужно ввести IP-адрес
системы, в которой работает Burp Suite, а также номер порта, который прослушивает прокси-
сервис Burp Suite, как показано на рисунке 10-17.
159
После настройки прокси-сервера вручную весь исходящий трафик
из мобильного приложения теперь будет маршрутизироваться через Burp Suite.
Как только запросы находятся в Burp Suite, они могут быть изменены с помощью Repeater или
Intruder, как и любой другой обычный HTTP-запрос.
Важно отметить два момента в отношении обеспечения безопасности.
тестирование на мобильных приложениях с помощью Burp Suite:
160
1. Burp Suite может только помочь выполнить ручное тестирование
безопасности мобильного приложения и, в определенной
степени, выполнить динамическое тестирование
безопасности приложения.
2. Точный процесс настройки сетевого прокси на мобильных
устройствах зависит от типа и версии операционной системы, в
которой они работают. Однако на высоком уровне процесс будет
аналогичен тому, что мы обсуждали в этом разделе.
Рабочий процесс тестирования безопасности с Burp Suite
На протяжении всей книги мы видели все аспекты Burp Suite и его возможностей.
Мы видели различные инструменты и утилиты, которые поставляются «из коробки», а также
использование сторонних расширений, которые значительно расширяют возможности Burp
Suite.
Теперь, когда мы подошли к концу книги, стоит подвести итоги.
рабочий процесс или подход для эффективного использования Burp Suite для
тестирования безопасности веб-приложений.
Ниже приведен поэтапный подход, которому можно следовать для эффективного
использования Burp Suite:
1. Получите правильную настройку и конфигурацию . Прежде чем
мы действительно начнем использовать Burp Suite, важно, чтобы
он был установлен и настроен правильно.
а. Убедитесь, что используется правильная версия и последняя версия Burp.
Люкс используется.
б. Настройте параметры прокси-сервера браузера для работы вместе с Burp.

Люкс.
в. Установите сертификат ЦС Burp Suite в браузер.
161
д. Настройте аутентификацию платформы, вышестоящий прокси-сервер и socks-
прокси по мере необходимости.
е. Просмотрите и определите горячие клавиши Burp Suite.
ф. Убедитесь, что автоматическое резервное копирование проекта включено и настроено
правильно.
грамм. Убедитесь, что параметры проекта, такие как тайм-ауты, разрешение
имени хоста, запросы вне области действия, перенаправления, конфигурация
TLS, правила обработки сеансов, файл cookie и макросы, настроены по мере
необходимости.
час Убедитесь, что прослушиватель прокси настроен и работает.
правильно.
я. Убедитесь, что все необходимые расширения установлены и загружены.
Дж. Убедитесь, что целевое приложение может быть исправлено с помощью
Инфильтратор Burp Suite.
2. Сканирование и понимание приложения. После правильной
настройки Burp Suite важно выполнить сканирование,
просмотр и просмотр целевого приложения, чтобы узнать о
нем больше.
а. Используйте функцию сканирования в сканере, чтобы просмотреть
заявление.
б. Используйте функцию обнаружения контента.
в. Вручную просмотрите критически важные рабочие процессы.
д. Внимательно следите за целевой вкладкой и следите за HTTP
Запросы.
е. Узнавайте и выделяйте интересные запросы с параметрами.
ф. Используйте функцию анализа цели, чтобы получить обзор
область применения.
162
грамм. Используйте инструменты вовлечения, чтобы найти комментарии, сценарии и
использованная литература.
час Отслеживайте проблемы, о которых сообщает пассивное сканирование.
3. Атакуйте приложение . Теперь, когда мы это сделали
достаточно разведки, пришло время атаковать выборочные функциональные
возможности приложений.
а. Запустите задачу аудита с помощью сканера Burp Suite.
б. Узнайте интересные запросы, особенно с
параметров и отправить запрос ретранслятору для дальнейшего изучения.
в. Вмешиваться и играться с запросом, параметрами,
заголовки и тело с помощью повторителя.
д. Если запрос и параметр необходимо протестировать против массовых полезных
нагрузок, используйте Intruder.
е. Используйте компаратор для анализа и интерпретации различий в
различные ответы.
ф. Используйте секвенсор для проверки прочности токенов.
грамм. Используйте декодер для кодирования или декодирования любого из
значения параметров по мере необходимости.
час Тест на уязвимости Clickjacking с помощью Clickbandit
инструмент.
я. Создайте доказательство концепции атаки подделки межсайтовых запросов с
помощью генератора PoC CSRF.
Дж. Используйте соавтора Burp Suite для эффективного обнаружения внештатных
уязвимостей, таких как XML-внедрение внешних сущностей (XXE) и подделка запросов
на стороне сервера (SSRF).
163
к. Следите за панелью проблем на целевой вкладке для всех

найдены уязвимости.
л. Выберите необходимые уязвимости и экспортируйте их в HTML-отчет.
Резюме
В этой главе мы увидели, как можно использовать возможности Burp Suite для тестирования
безопасности API и мобильных приложений. Мы также

обобщил рабочий процесс, которому можно следовать, чтобы наилучшим образом использовать
Burp Suite для тестирования безопасности веб-приложений.
1. Настройте Postman для работы вместе с Burp
Люкс. Перехватывайте запросы API в Burp Suite и атакуйте их
с помощью Repeater.
2. Протестируйте любое из целевых приложений, используя
полный рабочий процесс, обсуждаемый в этой главе.
164
Индекс
А нужно, 6
Опера, 22
Активное сканирование, 112
варианта
Тестирование безопасности API, подходы
Мониторы Cookie Jar, 46, 47
Burp Suite, 148, 149
разрешений имен хостов, 42, 43
Почтальон, 149, 150, 154
макросы, 47
Интеграция с почтальоном, 152–
154
Запрос вне области действия, 44, 45
прослушиватель прокси, 151
перенаправлений, 45, 46 тайм- аутов,
Программирование приложений
42 отзыва о производительности, 41
Интерфейсы (API), 1, 147
проверка подлинности платформы, 33, 34
Тестирование безопасности приложений, 1, 4, 5
резервных копии проекта, 39 прокси-
Уязвимости приложений, 2–
4
сервер, 35, 36
Б API отдыха, 39–

41
SOCKS-прокси, 36, 37
Burp Suite, 5
системных прокси, 23,
вариантов, 8, 9, 14 браузер,
24 типа загрузки, 12, 13 полезных
15
функций, 9, 10 веб-сайт, 16
Сертификат ЦС, 31, 32
Хром, 19
Расширитель Burp Suite
Край, 21
API, 143
издание, 6
BApp Store, 132–
136
события, 16
расширений, 131 установка
функций, 7, 8
вручную, 136–
139 настроек, 140–
142
Firefox, 17, 18
полезных расширения, 142, 143
горячих клавиш,
37, 38 установка, 11

Suite, https://doi.org/10.1007/978-1-4842-6402-7
ИНДЕКС
С обнаружение контента,
определение 63 , поиск ссылок

Браузерная консоль
58 , поиск сценариев 62 , поиск
Clickjacking, 103 код clickbandit,
61 , анализатор целей 60 , 62
104 пользовательский
интерфейс clickbandit, 104 код,
105 определение, 101 цель, 102
инструмент, 101
ЧАС
Разрешение имени хоста, 42

Соавтор, 99, 101
Сравнитель, 86–
88
Мониторы Cookie Jar, 46, 47

Я, Дж, К, Л
Оптимизация сканирования
Инфильтратор
конфигурация, 116
определение, 95
Определение межсайтовой подделки запросов (CSRF),
исполнительный агент, 99
106 инструментов взаимодействия, 106
генерирующий агент, 97, 98
навигация, 96 технологии, 96
Генератор POC, 106–
109
Злоумышленник
Д определение, 67
Приборная доска вариантов, 76, 77
полезной нагрузки,
Burp Suite, 49–
53
73–
75 позиций, 69–
72
определяющих, 49
отправки запроса, 68
Декодер, 88, 89
Полезные нагрузки SQL-инъекций/
межсайтовых сценариев, 68
Э, Ф, Г целевых вкладок, 69
Инструменты взаимодействия
Тренажер ручного тестирования
Burp, 65 М, Н, О
Берп Люкс, 59 Тестирование безопасности мобильных приложений,
Планировщик задач Burp Suite, поиск Люкс «Отрыжка»
комментариев 64 , поиск комментариев 60 Протокол HTTP/HTTPS, 155
166
ИНДЕКС
HTTP-прокси, 155 сканирование/аудит, 112–
сетевых прокси, 158–

161 114 пулов ресурсов, 124
прослушиватель прокси, 156 типа, 111
Рабочий процесс
тестирования безопасности, 161–

163
П, В Секвенсор
Полезная нагрузка, 73 Burp Suite,
Личная информация разрешение 90 , 89
(ПИИ), 2 HTTP-запрос, 90
Прокси, 27, 28, 30, 31 токенов загрузки, 92
анализа идентификатора сеанса, 91
Подделка запроса на стороне сервера

р (ССРФ), 163
Ретранслятор
Срок разработки программного обеспечения
настраивает сведения о цели, 80
Цикл (SDLC), 1
консоль, 80 определение, 79
заголовков, 83 параметра, 82
необработанных HTTP-запроса, 81 Т, У, В, Ш
ответ, 83–
85 отправка HTTP-запроса, Целевое
81 приложение на
вкладке, 56 карта/
иерархия приложений, 54
Сообщение о Burp Suite, 53
проблемах с экспортом, вопроса, 57
125 генерация, 128 выбор нескольких панелей,
формата, 126, 127 просмотр 53 запроса, 55
браузера, 129 уязвимость, 130 просмотрщиков запросов/
ответов, 55
фильтров карты сайта, 58
С
Сканер
Х, У, Я
Вход в приложение, Внедрение внешних сущностей XML
конфигурация 123 , 115–
123 (ХХЕ), 163
167

A Complete Guide To Burp Suite

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

A Complete Guide To Burp Suite

Оригинальное название:

Загружено:

Авторское право:

Доступные форматы

Machine Translated by Google

Научитесь обнаруживать приложения

Научитесь обнаруживать приложения

Полное руководство по Burp Suite

ISBN-13 (пбк): 978-1-4842-6401-0 ISBN-13 (электронный): 978-1-4842-6402-7

Copyright © 2021 Сагар Рахалкар

права на товарный знак.

Управляющий директор ООО «Апресс Медиа»: Велмоэд Шпар

Редактор отдела приобретений: Дивья Моди

Редактор разработки: Лаура Берендсон

Координирующий редактор: Дивья Моди

Обложка разработана eStudioCalamar

Изображение на обложке разработано Pixabay

За информацией о переводах обращайтесь по электронной почте booktranslations@springernature.com; для перепечатки,

мягкой обложки или прав на аудио, пожалуйста, по электронной почте bookpermissions@springernature.com.

веб-страницу массовых продаж печатных и электронных книг по адресу http://www.apress.com/bulk-sales.

GitHub через страницу продукта, расположенную по адресу www.apress.com/978-1-4842-6401-0.

Для получения более подробной информации посетите http://www.apress.com/source-code.

Напечатано на бескислотной бумаге.

О техническом рецензенте ���������������������������������������������������� ����������������xi

Глава 1: Введение в Burp Suite ������������������������������������������������� ��������1

Краткое введение в Burp Suite �������������������������������������������������� ��������������������������������5

Глава 2: Настройка среды ������������������������������������������������� №11

Настройка уязвимого целевого веб-приложения �������������������������������������������������� ��������14

Глава 3. Прокси-сервер, параметры пользователя и параметры проекта ................................................................................................................27

Аутентификация платформы, прокси-серверы вышестоящего уровня, прокси-сервер SOCKS �������������������������33

Глава 4. Инструментальная панель, целевые объекты и взаимодействие ............................................................................................................ 49

Глава 6. Ретранслятор, компаратор, декодер и секвенсор ............................................................................................................ 79

Глава 7: Infiltrator, Collaborator, Clickbandit и CSRF PoC

Глава 8: Сканер и отчетность �������������������������������������������������� ��������111

Глава 9: Расширение Burp Suite ���������������������������������������������������� ������������131

Тестирование безопасности мобильных приложений с помощью Burp Suite ����������������������������������������������155

Рабочий процесс тестирования безопасности с Burp Suite ���������������������������������������������������� ������������161

Сагар Рахалкар — опытный специалист по информационной безопасности с более

Параг Патил (www.linkedin.com/in/

Благодарность рецензента: Спасибо моим наставникам (Даттатраю Бхату,

сместили акцент на обеспечение безопасности приложений. Несмотря на то, что

существует множество решений и продуктов для обеспечения безопасности приложений,

Burp Suite действительно является предпочтительным инструментом для многих.

тестирование. Он широко используется для ручного тестирования безопасности не

только веб-приложений, но и API-интерфейсов и мобильных приложений. Для

эффективного тестирования безопасности веб-приложений необходимо понимать

различные уязвимости веб-приложений; в то же время необходимо также иметь глубокое

понимание инструментов, используемых для тестирования. Эта книга поможет вам

Книга начинается с основ Burp Suite и поможет вам настроить

до тестовой среды. Следующие главы охватывают основные строительные блоки

нарушитель, повторитель, декодер, компаратор, секвенсор и т. д. В последних главах

мы рассмотрим другие полезные функции, такие как инфильтратор, соавтор, сканер,

расширитель и использование Burp Suite для тестирования безопасности API и мобильных

Приложения были более подвержены уязвимостям, поскольку у разработчиков было

меньше средств защиты и меньше осведомленности. Однако сегодня ситуация резко

изменилась. Разработчики гораздо лучше осведомлены и осведомлены о безопасности, а

элементы управления безопасностью размещаются на протяжении всего жизненного

О техническом рецензенте �� xi

Глава 1: Введение в Burp Suite �� 1

Краткое введение в Burp Suite �� 5

Глава 2: Настройка среды �� №11

Настройка уязвимого целевого веб-приложения �� 14

Аутентификация платформы, прокси-серверы вышестоящего уровня, прокси-сервер SOCKS ��33

Глава 8: Сканер и отчетность �� 111

Глава 9: Расширение Burp Suite �� 131

Тестирование безопасности мобильных приложений с помощью Burp Suite ��155

Рабочий процесс тестирования безопасности с Burp Suite �� 161