Abbiamo trattato le basi del framework di test di sicurezza delle applicazioni web Burp Suite. Burp Suite è un framework basato su Java progettato per fungere da soluzione completa per condurre test di penetrazione delle applicazioni web. È diventato lo strumento standard del settore per le valutazioni pratiche della sicurezza delle applicazioni web e mobili, comprese quelle che si basano sulle interfacce di programmazione delle applicazioni (API). Questo faceva parte TryHackMe BurpSuite: le basi per principianti.
Ottieni gli appunti di studio COMPTIA Pentest+
Appunti pratici della suite Burp
Il corso pratico completo sul framework Metasploit
Descrizione della sfida
Un'introduzione all'utilizzo di Burp Suite per il pentesting di applicazioni web.
Video in evidenza
Suite Rutto è un framework basato su Java progettato per fungere da soluzione completa per condurre test di penetrazione delle applicazioni web. È diventato lo strumento standard del settore per le valutazioni pratiche della sicurezza delle applicazioni web e mobili, comprese quelle che si basano su UNapplicazione Pprogrammazione iointerfacciaS (API).
In poche parole, Suite Rutto cattura e consente la manipolazione di tutto il traffico HTTP/HTTPS tra un browser e un server web. Questa capacità fondamentale costituisce la spina dorsale del quadro. Intercettando le richieste, gli utenti hanno la flessibilità di instradarle verso vari componenti all'interno del framework Burp Suite, che esploreremo nelle prossime sezioni. La capacità di intercettare, visualizzare e modificare le richieste web prima che raggiungano il server di destinazione o addirittura manipolare le risposte prima che vengano ricevute dal nostro browser rende Burp Suite uno strumento inestimabile per il test manuale delle applicazioni web.
- Procura: Il rutto Procura è l'aspetto più rinomato di Burp Suite. Consente l'intercettazione e la modifica di richieste e risposte durante l'interazione con le applicazioni web.
- Ripetitore: Un'altra caratteristica ben nota. Ripetitore consente di acquisire, modificare e inviare nuovamente la stessa richiesta più volte. Questa funzionalità è particolarmente utile quando si creano payload attraverso tentativi ed errori (ad esempio, in SQLi – Structured Query Language Injection) o si testa la funzionalità di un endpoint per le vulnerabilità.
- Intruso: Nonostante le limitazioni tariffarie nella Burp Suite Community, Intruso consente di spruzzare endpoint con richieste. Viene comunemente utilizzato per attacchi di forza bruta o endpoint fuzzing.
- Decodificatore: Decodificatore offre un prezioso servizio per la trasformazione dei dati. Può decodificare le informazioni catturate o codificare i carichi utili prima di inviarli al bersaglio. Sebbene esistano servizi alternativi per questo scopo, sfruttare Decoder all'interno di Burp Suite può essere altamente efficiente.
- Confronta: Come suggerisce il nome, Confronta consente il confronto di due dati a livello di parola o di byte. Sebbene non sia un'esclusiva di Burp Suite, la possibilità di inviare segmenti di dati potenzialmente di grandi dimensioni direttamente a uno strumento di confronto con una singola scorciatoia da tastiera accelera notevolmente il processo.
- Sequenziatore: Sequenziatore viene generalmente utilizzato quando si valuta la casualità dei token, come i valori dei cookie di sessione o altri dati presumibilmente generati in modo casuale. Se l’algoritmo utilizzato per generare questi valori non dispone di una casualità sicura, può aprire strade per attacchi devastanti.
Risposte in camera
Quale edizione di Burp Suite utilizzeremo in questo modulo?
Comunità di Burp Suite
Quale edizione di Burp Suite viene eseguita su un server e fornisce una scansione costante per le app Web di destinazione?
BurpSuite Enterprise
Burp Suite viene spesso utilizzato per attaccare applicazioni Web e applicazioni ______.
Mobile
Quale funzionalità di Burp Suite ci permette di intercettare le richieste tra noi e il target?
Procura
Quale strumento Burp utilizzeremmo se volessimo forzare un modulo di accesso?
Intruso
Se abbiamo caricato certificati TLS lato client nel file Opzioni utente scheda, possiamo sovrascriverli in base al progetto (Sì/No)?
Sì
Quale pulsante sceglieremmo per inviare una richiesta intercettata al target in Burp Proxy?
Inoltrare
[Ricerca] Qual è la combinazione di tasti predefinita per questo?
CTRL+F
Qual è la gravità tipica di una dipendenza JavaScript vulnerabile?
Basso
Videoprocedura dettagliata
