Allgemein

• Netzwerkanalyse-Werkzeugkasten
• Testen von Web-Anwendungen.
• Burp Proxy, der den HTTP/HTTPS-Verkehr abfängt
• HTTP-Header können modifiziert werden

Vorbereitung

• Burp-Suite ist in Java geschrieben.
• Es gibt eine kostenlose Community-Version mit eingeschränktem Umfang
• Es gibt eine kommerzielle Variante mit größerem Funktionsumfang an.
• Kali Linux hat die Burp-Suite bereits zum vorinstalliert
• Wie bei allen dieser Tools kann man es in guter oder böser Absicht verwenden.
• Man sollte immer das Einverständnis des Seitenbetreiber einholen.

Wie die Software funktioniert

• Die Burp-Suite agiert als lokaler Proxyserver.
• Der kompletten Datenverkehr ird abfangen und aufzeichnen.
• Man kann gezielt Lücken einer Anwendung finden und testen

Starten

• Nach dem Starten kann man erst einmal angebotene temporäre Projekt anfangen.
• Man kann nun einen eigenen Broweser nutzen oder den, den die Suite mitbringt.
• Wenn die Fehlermeldung der Zertifikate stört, kann das ROOT CA der Suite installieren.
• Die Burb Suite stellt dann für jede Seite ein separetes Zertifikat aus.

Proxy

• Es gibt zwei entscheidende Modi
• Intercept is on
• Intercept is off
• Bei on muss jedes Paket quitiert werden.

Intruder

• Mit dieser Funktion kann man eine Brute Force Attacke durchführen
• Man kann über Position Stelle innerhalb des Requests verändern
• Über den Payload kann man beispielsweise eine Passwortliste laden
• Wenn alles definiert ist kann man eine Attacke starten.

Premium-Version

• Sie kostet knapp unter 350$ pro Jahr
• Der Scanner kann automatisch Schwachstellen finden.
• Wer regelemässig Tests durchführen will sollte zur Premiumversion greifen.