Einführung
Wir berichteten über die Burp Suite-Proxy Einstellungen zusätzlich zu den Umfangs- und Zieleinstellungen als Teil des TryHackMe Junior Penetration Tester-Pfads.
Im Einzelnen werden wir uns mit Folgendem befassen:
- Was ist Burp Suite
- Eine Übersicht über die verfügbaren Tools im Rahmen
- Burp Suite selbst installieren
- Navigieren und Konfigurieren der Burp Suite.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Praktische Hinweise zur Burp Suite
Kompletter Kurs zum Penetrationstest von Webanwendungen
Wir werden auch den Kern des Burp Suite-Frameworks vorstellen: den Burp Proxy. Dieser Raum ist in erster Linie dazu gedacht, grundlegende Kenntnisse über Burp Suite zu vermitteln, auf denen dann in den anderen Räumen des Burp-Moduls weiter aufgebaut werden kann; daher wird er viel theorielastiger sein als nachfolgende Räume, die eher einen praktischen Ansatz verfolgen. Es wird Ihnen empfohlen, die Informationen hier zu lesen und selbst mit einer Kopie des Tools zu arbeiten, wenn Sie Burp Suite noch nicht verwendet haben. Experimentieren ist der Schlüssel: Verwenden Sie diese Informationen zusammen mit dem Herumspielen mit der App, um eine Grundlage für die Verwendung des Frameworks zu schaffen, auf der dann in späteren Räumen aufgebaut werden kann.
Einfach ausgedrückt: Burp Suite ist ein in Java geschriebenes Framework, das eine zentrale Anlaufstelle für Penetrationstests von Webanwendungen bieten soll. In vielerlei Hinsicht wird dieses Ziel erreicht, da Burp das Industriestandardtool für praktische Sicherheitsbewertungen von Webanwendungen ist. Burp Suite wird auch sehr häufig bei der Bewertung mobiler Anwendungen verwendet, da dieselben Funktionen, die es für das Testen von Webanwendungen so attraktiv machen, sich fast perfekt auf das Testen der APIs übertragen lassen (AAnwendung PProgrammierung ICHSchnittstellen) für die meisten mobilen Apps.
Auf der einfachsten Ebene kann Burp den gesamten Datenverkehr zwischen einem Angreifer und einem Webserver erfassen und manipulieren: Dies ist der Kern des Frameworks. Nachdem wir die Anfragen erfasst haben, können wir sie an verschiedene andere Teile des Burp Suite-Frameworks senden – wir werden einige dieser Tools in den nächsten Räumen behandeln. Diese Fähigkeit, Webanfragen abzufangen, anzuzeigen und zu ändern, bevor sie an den Zielserver gesendet werden (oder in einigen Fällen die Antworten, bevor sie von unserem Browser empfangen werden), macht Burp Suite perfekt für jede Art von manuellem Testen von Webanwendungen.
Raumantworten
Welche Edition der Burp Suite läuft auf einem Server und bietet ein ständiges Scannen nach Ziel-Web-Apps?
Burp Suite wird häufig bei Angriffen auf Webanwendungen und ______ Anwendungen verwendet.
Welches Burp-Tool würden wir verwenden, wenn wir ein Anmeldeformular mit roher Gewalt angreifen wollten?
In welchem Projektoptionen Können Sie in der Unterregisterkarte einen Verweis auf eine „Keksdose“ finden?
In welchem Benutzeroptionen Können Sie im Unterregister das Aktualisierungsverhalten der Burp Suite ändern?
Wie heißt der Abschnitt im Benutzeroptionen Unterregisterkarte „Suite“, auf der Sie die Tastenkombinationen der Burp Suite ändern können?
Wenn wir Client-Side TLS-Zertifikate hochgeladen haben in Benutzeroptionen Registerkarte, können wir diese für jedes Projekt einzeln überschreiben (Ja/Nein)?
Welche Schaltfläche würden wir wählen, um eine abgefangene Anfrage an das Ziel im Burp Proxy zu senden?
[Forschung] Was ist die Standardtastenbelegung hierfür?
Notiz: Angenommen, Sie verwenden Windows oder Linux (d. h. tauschen Sie Cmd gegen Strg).
Welche Flagge erhalten Sie?
Sehen Sie sich die Liste mit den Problemdefinitionen an.
Was ist der typische Schweregrad einer anfälligen JavaScript-Abhängigkeit?
