Introduction
Nous avons couvert le Mandataire de Burp Suite paramètres en plus des paramètres de portée et de cible dans le cadre du parcours TryHackMe Junior Penetration Tester.
Plus précisément, nous examinerons :
- Qu'est-ce que Burp Suite ?
- Un aperçu des outils disponibles dans le cadre
- Installer Burp Suite pour vous-même
- Navigation et configuration de Burp Suite.
Obtenir les notes du certificat OSCP
Cours complet de tests d'intrusion d'applications Web
Nous présenterons également le cœur du framework Burp Suite : le Burp Proxy. Cette salle est principalement conçue pour fournir une connaissance de base de Burp Suite qui peut ensuite être développée davantage dans les autres salles du module Burp ; en tant que tel, il sera en théorie beaucoup plus lourd que les salles suivantes, qui adoptent davantage une approche pratique. Il est conseillé de lire les informations ici et de suivre vous-même une copie de l'outil si vous n'avez jamais utilisé Burp Suite auparavant. L'expérimentation est la clé : utilisez ces informations en tandem avec l'application pour vous-même afin de construire une base pour l'utilisation du framework, sur laquelle vous pourrez ensuite vous appuyer dans des salles ultérieures.
En termes simples : Burp Suite est un framework écrit en Java qui vise à fournir un guichet unique pour les tests d'intrusion des applications Web. À bien des égards, cet objectif est atteint car Burp est l’outil standard de l’industrie pour les évaluations pratiques de la sécurité des applications Web. Burp Suite est également très couramment utilisé lors de l'évaluation des applications mobiles, car les mêmes fonctionnalités qui le rendent si attrayant pour les tests d'applications Web se traduisent presque parfaitement par le test des API (UNapplication P.programmation jenterfaces) alimentant la plupart des applications mobiles.
Au niveau le plus simple, Burp peut capturer et manipuler tout le trafic entre un attaquant et un serveur web : c'est le cœur du framework. Après avoir capturé les demandes, nous pouvons choisir de les envoyer vers diverses autres parties du framework Burp Suite – nous aborderons certains de ces outils dans les prochaines salles. Cette capacité à intercepter, visualiser et modifier les requêtes Web avant qu'elles ne soient envoyées au serveur cible (ou, dans certains cas, les réponses avant qu'elles ne soient reçues par notre navigateur), rend Burp Suite parfaite pour tout type de test manuel d'applications Web. .
Réponses de la salle
Quelle édition de Burp Suite s'exécute sur un serveur et permet une analyse constante des applications Web cibles ?
Burp Suite est fréquemment utilisé pour attaquer des applications Web et des applications ______.
Quel outil Burp utiliserions-nous si nous voulions forcer brutalement un formulaire de connexion ?
Dans lequel Options du projet sous-onglet, pouvez-vous trouver une référence à un « pot à cookies » ?
Dans lequel Options utilisateur sous-onglet pouvez-vous modifier le comportement de mise à jour de Burp Suite ?
Quel est le nom de la section dans le Options utilisateur Sous-onglet « Suite » qui permet de modifier les raccourcis clavier de Burp Suite ?
Si nous avons téléchargé des certificats TLS côté client dans le Options utilisateur , pouvons-nous les remplacer par projet (Oui/Non) ?
Quel bouton choisirions-nous pour envoyer une requête interceptée à la cible dans Burp Proxy ?
[Recherche] Quel est le raccourci clavier par défaut pour cela ?
Note: Supposons que vous utilisez Windows ou Linux (c'est-à-dire échanger Cmd contre Ctrl).
Quel est le drapeau que vous recevez ?
Parcourez la liste des définitions de problèmes.
Quelle est la gravité typique d’une dépendance JavaScript vulnérable ?
