Burp Suiteは、Webアプリケーションのセキュリティテストを実行するためのプラットフォームです。この投稿では、このツールをより効果的に使用するためのヒントをいくつか紹介します。
設定
どのツールでも適切に機能するには、自分でツールをカスタマイズすることが重要です。Burp Suiteには、次の2種類の設定があります。
- ユーザーオプション-BurpSuite自体に関連する設定
- プロジェクトオプション-ハッキングするものの設定
エンコーディング
, . UtF-8 . User Options -> Display -> Characters Sets.
Burp Suite . , " ". User Options -> Misc -> Hotkeys. :
- \:
- Ctrl+(Shift)+U|H|B “URL|HTML|Base64 (de)code”
- GUI:
- Ctrl+Shift+T|P|S|I|R — “ ”
- Ctrl+I|R|D — " "
- Burp Repeater:
- Ctrl+G — " Burp Repeater"
Proxy Interception
, Burp Proxy - , ? . - , . … , . User -> Misc -> Proxy Interseption "Always Disable".
PortSwigger . "", . , — , PortSwigger. User Options -> Misc -> Performance Feedback .
Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server
, . :
- ( JSON ).
- .
- (, git ).
- :
{
"project_options":{
// options
},
"user_options":{
// options
}
}Burp Suite . , .
, .
Burp Suite Java, , . :
java -jar -Xmx2048M burp.jarBurp Suite. :
- Burp Proxy Burp Suite, , , .
- Burp Repeater — HTTP-, - .
- Burp Intruder — -. , , .
, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .
Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.
Burp Suite , , . , , - .
Burp Repeater, Burp Intruder, .
. Burp , , . , , "+", "Auto-scroll to match when text changes".
\. Burp Repeater View->Top/bottom split
Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .
Burp Intruder , . , /, - . , , , , .
:
- Add prefix / suffix — .
- Match / replace — , , .
- Encode / Decode — : URL, HTML, Base64, ASCII hex.
- Hash — .
- Skip if matches regex — , . , , , , .
Intruder
Burp Intruder , . Burp . , , , .
このオプションを使用すると、大量のスキャン結果を分析するときに最も役立ち、関心のあるものをすばやく見つけることができます。たとえば、SQLインジェクションをテストする場合、「ODBC」、「エラー」などを含むメッセージを検索すると、脆弱なパラメータをすばやく見つけるのに役立ちます。