BurpSuite: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „*Netzwerkanalyse-Werkzeugkasten *Testen von Web-Anwendungen. *Burp Proxy, der den HTTP/HTTPS-Verkehr abfängt *HTTP-Header können modifiziert werden“) |
|||
| Zeile 1: | Zeile 1: | ||
| + | =Allgemein= | ||
*Netzwerkanalyse-Werkzeugkasten | *Netzwerkanalyse-Werkzeugkasten | ||
*Testen von Web-Anwendungen. | *Testen von Web-Anwendungen. | ||
*Burp Proxy, der den HTTP/HTTPS-Verkehr abfängt | *Burp Proxy, der den HTTP/HTTPS-Verkehr abfängt | ||
*HTTP-Header können modifiziert werden | *HTTP-Header können modifiziert werden | ||
| + | =Vorbereitung= | ||
| + | *Burp-Suite ist in Java geschrieben. | ||
| + | *Es gibt eine kostenlose Community-Version mit eingeschränktem Umfang | ||
| + | *Es gibt eine kommerzielle Variante mit größerem Funktionsumfang an. | ||
| + | *Kali Linux hat die Burp-Suite bereits zum vorinstalliert | ||
| + | *Wie bei allen dieser Tools kann man es in guter oder böser Absicht verwenden. | ||
| + | *Man sollte immer das Einverständnis des Seitenbetreiber einholen. | ||
| + | =Wie die Software funktioniert= | ||
| + | *Die Burp-Suite agiert als lokaler Proxyserver. | ||
| + | *Der kompletten Datenverkehr abfangen und aufzeichnen. | ||
| + | *Man gezielt Lücken einer Anwendung finden und testen | ||
| + | =Starten= | ||
| + | *Nach dem Starten kann man erst einmal angebotene temporäre Projekt anfangen. | ||
| + | *Man kann nun einen eigenen Broweser nutzen oder den, den die Suite mitbringt. | ||
| + | *Wenn die Fehlermeldung der Zertifikate stört, kann das ROOT CA der Suite installieren. | ||
| + | *Die Burb Suite stellt dann für jede Seite ein separetes Zertifikat aus. | ||
| + | =Proxy= | ||
| + | *Es gibt zwei entscheidende Modi | ||
| + | *Intercept is on | ||
| + | *Intercept is off | ||
| + | *Bei on muss jedes Paket quitiert werden. | ||
| + | =Intruder= | ||
| + | *Mit dieser Funktion kann man eine Brute Force Attacke durchführen | ||
| + | *Man kann über Position Stelle innerhalb des Requests verändern | ||
| + | *Über den Payload kann man beispielsweise eine Passwortliste laden | ||
| + | *Wenn alles definiert ist kann man eine Attacke starten. | ||
| + | =Premium-Version= | ||
| + | *Sie kostet knapp unter 350$ pro Jahr | ||
| + | *Der Scanner kann automatisch Schwachstellen finden. | ||
| + | *Wer regelemässig Tests durchführen will sollte zur Premiumversion greifen. | ||
Version vom 27. Juni 2021, 17:51 Uhr
Allgemein
- Netzwerkanalyse-Werkzeugkasten
- Testen von Web-Anwendungen.
- Burp Proxy, der den HTTP/HTTPS-Verkehr abfängt
- HTTP-Header können modifiziert werden
Vorbereitung
- Burp-Suite ist in Java geschrieben.
- Es gibt eine kostenlose Community-Version mit eingeschränktem Umfang
- Es gibt eine kommerzielle Variante mit größerem Funktionsumfang an.
- Kali Linux hat die Burp-Suite bereits zum vorinstalliert
- Wie bei allen dieser Tools kann man es in guter oder böser Absicht verwenden.
- Man sollte immer das Einverständnis des Seitenbetreiber einholen.
Wie die Software funktioniert
- Die Burp-Suite agiert als lokaler Proxyserver.
- Der kompletten Datenverkehr abfangen und aufzeichnen.
- Man gezielt Lücken einer Anwendung finden und testen
Starten
- Nach dem Starten kann man erst einmal angebotene temporäre Projekt anfangen.
- Man kann nun einen eigenen Broweser nutzen oder den, den die Suite mitbringt.
- Wenn die Fehlermeldung der Zertifikate stört, kann das ROOT CA der Suite installieren.
- Die Burb Suite stellt dann für jede Seite ein separetes Zertifikat aus.
Proxy
- Es gibt zwei entscheidende Modi
- Intercept is on
- Intercept is off
- Bei on muss jedes Paket quitiert werden.
Intruder
- Mit dieser Funktion kann man eine Brute Force Attacke durchführen
- Man kann über Position Stelle innerhalb des Requests verändern
- Über den Payload kann man beispielsweise eine Passwortliste laden
- Wenn alles definiert ist kann man eine Attacke starten.
Premium-Version
- Sie kostet knapp unter 350$ pro Jahr
- Der Scanner kann automatisch Schwachstellen finden.
- Wer regelemässig Tests durchführen will sollte zur Premiumversion greifen.