introduzione
Abbiamo coperto il Proxy BurpSuite impostazioni oltre alle impostazioni di ambito e destinazione come parte del percorso TryHackMe Junior Penetration Tester.
Nello specifico esamineremo:
- Cos'è Burp Suite
- Una panoramica degli strumenti disponibili nel framework
- Installa Burp Suite per te stesso
- Navigazione e configurazione di Burp Suite.
Ottieni le note sul certificato OSCP
Appunti pratici della suite Burp
Corso completo sul Penetration Testing delle applicazioni Web
Introdurremo anche il nucleo del framework Burp Suite: il Burp Proxy. Questa stanza è progettata principalmente per fornire una conoscenza fondamentale della Burp Suite che può poi essere sviluppata ulteriormente nelle altre stanze del modulo Burp; in quanto tale, in teoria sarà molto più pesante delle stanze successive, che richiedono un approccio più pratico. Ti consigliamo di leggere le informazioni qui e di seguire tu stesso una copia dello strumento se non hai mai utilizzato Burp Suite prima. La sperimentazione è fondamentale: usa queste informazioni insieme a giocare con l'app per costruire una base per l'utilizzo del framework, su cui poi si può costruire nelle stanze successive.
In parole povere: Burp Suite è un framework scritto in Java che mira a fornire uno sportello unico per i test di penetrazione delle applicazioni web. In molti modi, questo obiettivo è stato raggiunto poiché Burp è lo strumento standard del settore per le valutazioni pratiche della sicurezza delle app Web. Burp Suite è anche molto comunemente usato quando si valutano le applicazioni mobili, poiché le stesse funzionalità che lo rendono così attraente per il test delle app web si traducono quasi perfettamente nel test delle API (UNapplicazione Pprogrammazione IOinterfacce) che alimentano la maggior parte delle app mobili.
Al livello più semplice, Burp può catturare e manipolare tutto il traffico tra un utente malintenzionato e un server web: questo è il nucleo del framework. Dopo aver acquisito le richieste, possiamo scegliere di inviarle a varie altre parti del framework Burp Suite: tratteremo alcuni di questi strumenti nelle prossime stanze. Questa capacità di intercettare, visualizzare e modificare le richieste web prima che vengano inviate al server di destinazione (o, in alcuni casi, le risposte prima che vengano ricevute dal nostro browser), rende Burp Suite perfetta per qualsiasi tipo di test manuale delle app web .
Risposte in camera
Quale edizione di Burp Suite viene eseguita su un server e fornisce una scansione costante per le app Web di destinazione?
Burp Suite viene spesso utilizzato per attaccare applicazioni Web e applicazioni ______.
Quale strumento Burp utilizzeremmo se volessimo forzare un modulo di accesso?
In quale Opzioni del progetto nella sottoscheda puoi trovare un riferimento a un "barattolo di biscotti"?
In quale Opzioni utente nella sottoscheda puoi modificare il comportamento degli aggiornamenti di Burp Suite?
Qual è il nome della sezione all'interno del file Opzioni utente Sottoscheda "Suite" che ti consente di modificare le combinazioni di tasti di Burp Suite?
Se abbiamo caricato certificati TLS lato client nel file Opzioni utente scheda, possiamo sovrascriverli in base al progetto (Sì/No)?
Quale pulsante sceglieremmo per inviare una richiesta intercettata al target in Burp Proxy?
[Ricerca] Qual è la combinazione di tasti predefinita per questo?
Nota: Supponiamo che tu stia utilizzando Windows o Linux (cioè scambia Cmd con Ctrl).
Qual è la bandiera che ricevi?
Esamina l'elenco delle definizioni dei problemi.
Qual è la gravità tipica di una dipendenza JavaScript vulnerabile?
