LabEx
LoginBeitreten

Benutzeroberfläche in Burp Suite erkunden

Beginner
Jetzt üben

Einleitung

Burp Suite ist eine leistungsstarke und beliebte Plattform für Sicherheitstests von Webanwendungen. Sie besteht aus einer Reihe integrierter Tools, die zusammenarbeiten, um den gesamten Testprozess zu unterstützen, von der anfänglichen Abbildung und Analyse der Angriffsfläche einer Anwendung bis hin zum Finden und Ausnutzen von Sicherheitslücken.

Bevor Sie Burp Suite effektiv für Sicherheitstests nutzen können, müssen Sie sich zunächst mit seiner Benutzeroberfläche (UI) vertraut machen. In diesem Lab starten Sie Burp Suite und erhalten eine geführte Tour durch seine Hauptregisterkarten und Funktionen. Dieses grundlegende Wissen ist unerlässlich für alle zukünftigen Labs, die sich mit Penetrationstests von Webanwendungen befassen.

Überprüfung des Dashboards und des Ereignisprotokolls

In diesem Schritt starten Sie Burp Suite und erkunden das Haupt-Dashboard, das als zentrale Anlaufstelle für Ihre Testaktivitäten dient.

Öffnen Sie zunächst ein Terminal in Ihrer LabEx-Umgebung. Die Burp Suite JAR-Datei wurde bereits in Ihr ~/project-Verzeichnis heruntergeladen. Verwenden Sie den folgenden Befehl, um die Anwendung zu starten. Beachten Sie, dass das Laden einen Moment dauern kann.

java -jar burpsuite_community.jar

Ein Dialogfeld wird angezeigt, das Sie nach Projektdateien fragt. Für dieses Lab verwenden wir ein temporäres Projekt. Akzeptieren Sie einfach die Standardauswahl und klicken Sie auf Weiter (Next).

Ein weiterer Dialog kann erscheinen, der Sie nach Standardeinstellungen fragt. Klicken Sie auf Burp starten (Start Burp), um fortzufahren.

Sobald Burp Suite geladen ist, sehen Sie das Hauptfenster. Die erste Registerkarte, die Sie sehen, ist das Dashboard.

Das Dashboard ist in vier Hauptquadranten unterteilt:

  • Aufgaben (Tasks): Hier können Sie vordefinierte Scans und andere automatisierte Aufgaben ausführen.
  • Ereignisprotokoll (Event log): Dies bietet ein laufendes Protokoll aller wichtigen Ereignisse, die innerhalb von Burp Suite auftreten, wie z. B. der Start des Proxys oder die Entdeckung neuer Probleme.
  • Problemaktivität (Issue activity): Dies zeigt einen Echtzeit-Feed von Sicherheitslücken an, die von Burp Scanner identifiziert wurden.
  • Beratung (Advisory): Dieser Abschnitt bietet Details und Empfehlungen zur Behebung ausgewählter Sicherheitsprobleme.

Nehmen Sie sich einen Moment Zeit, um das Ereignisprotokoll (Event log) zu betrachten. Sie sollten Einträge sehen, die darauf hinweisen, dass der Proxy-Dienst gestartet wurde und die Anwendung bereit ist. Dieses Protokoll ist sehr nützlich für die Fehlerbehebung und das Verständnis dessen, was Burp im Hintergrund tut.

Untersuchen des Tabs "Target" und der Site Map

In diesem Schritt erkunden Sie den Tab Target, der zur Definition des Umfangs Ihrer Arbeit und zur Anzeige einer detaillierten Karte der Struktur der Zielanwendung verwendet wird.

Klicken Sie im Burp Suite-Fenster auf den Tab Target (Ziel) oben in der Benutzeroberfläche.

Dieser Tab ist entscheidend für die Organisation Ihrer Testbemühungen. Er verfügt auf der linken Seite über zwei Hauptunterregisterkarten:

  • Site map (Site-Karte): Diese Ansicht bietet eine hierarchische Baumdarstellung des Inhalts der Zielanwendung. Während Sie die Anwendung über den Proxy von Burp durchsuchen, wird diese Karte automatisch mit allen von Ihnen entdeckten URLs und Ressourcen gefüllt. Da wir noch keine Websites durchsucht haben, wird dieser Bereich größtenteils leer sein.
  • Scope (Umfang): Diese Unterregisterkarte ermöglicht es Ihnen, genau zu definieren, welche Hosts und URLs Teil Ihres Testumfangs sind. Alle Elemente, die "im Umfang" (in scope) liegen, werden von den Tools von Burp verarbeitet, während Elemente außerhalb des Umfangs (out-of-scope) normalerweise ignoriert werden. Dies ist unerlässlich, um Ihre Tests zu fokussieren und unbeabsichtigte Interaktionen mit anderen Websites zu vermeiden.

Klicken Sie sowohl auf die Unterregisterkarten Site map als auch Scope, um sich mit deren Layout vertraut zu machen. Das Verständnis, wie Sie Ihren Zielumfang verwalten, ist eine grundlegende Fähigkeit für die effektive Nutzung von Burp Suite.

Verstehen der Ansichten "Intercept" und "History" des Tabs "Proxy"

In diesem Schritt befassen wir uns mit dem Tab Proxy, der eines der Kernwerkzeuge von Burp Suite enthält. Der Burp Proxy fungiert als Man-in-the-Middle und ermöglicht es Ihnen, den gesamten Datenverkehr zwischen Ihrem Browser und der Ziel-Webanwendung abzufangen, zu inspizieren und zu ändern.

Klicken Sie auf den Tab Proxy.

Sie sehen mehrere Unterregisterkarten. Die beiden wichtigsten für den Moment sind:

  • Intercept (Abfangen): Dies ist die Kommandozentrale für das Abfangen von Datenverkehr. Wenn die Schaltfläche Intercept is on (Abfangen ist aktiviert) aktiv ist, pausiert Burp alle übereinstimmenden HTTP/S-Anfragen und -Antworten und ermöglicht es Ihnen, diese anzuzeigen und zu bearbeiten, bevor sie an ihr Ziel gesendet werden. Dies ist für manuelle Tests unglaublich leistungsfähig. Klicken Sie auf die Schaltfläche, um sie zwischen Intercept is on und Intercept is off (Abfangen ist deaktiviert) umzuschalten und zu sehen, wie sie sich ändert. Lassen Sie sie vorerst deaktiviert.
  • HTTP history (HTTP-Verlauf): Diese Unterregisterkarte bietet ein vollständiges Protokoll jeder HTTP-Anfrage, die den Proxy durchlaufen hat. Für jede Anfrage können Sie die vollständige Anfrage und Antwort, Header, Parameter und mehr sehen. Dieser Verlauf ist eine unschätzbare Ressource, um zu verstehen, wie eine Anwendung funktioniert, und um potenzielle Schwachstellen zu finden.

Es gibt auch einen Tab WebSockets history (WebSocket-Verlauf) zum Protokollieren von WebSocket-Datenverkehr, der von modernen Echtzeitanwendungen verwendet wird. Konzentrieren Sie sich vorerst darauf, die Funktion der Ansichten Intercept und HTTP history zu verstehen.

Auffinden der Tabs "Repeater" und "Intruder"

In diesem Schritt finden Sie zwei weitere wesentliche Werkzeuge für manuelle und automatisierte Tests: Repeater und Intruder.

Klicken Sie zuerst auf den Tab Repeater.

Burp Repeater ist ein einfaches, aber leistungsfähiges Werkzeug zur manuellen Manipulation und erneuten Ausgabe einzelner HTTP-Anfragen. Sie können eine Anfrage von einem anderen Burp-Werkzeug (wie dem Proxy-Verlauf) an Repeater senden, beliebige Teile davon (z. B. einen Parameter oder Header) ändern und sie immer wieder senden. Dies ist perfekt für das Testen der Anwendungslogik, die Validierung von Erkenntnissen und die Durchführung von fein abgestimmten manuellen Angriffen. Die Benutzeroberfläche ist geteilt und zeigt die Anfrage links und die Antwort rechts an.

Klicken Sie als Nächstes auf den Tab Intruder.

Burp Intruder ist ein hochgradig konfigurierbares Werkzeug zur Automatisierung angepasster Angriffe. Sein Hauptzweck ist das "Fuzzing", bei dem eine große Anzahl von Anfragen mit modifizierten Daten gesendet wird, um nach Schwachstellen zu suchen. Sie können es für Aufgaben wie das Brute-Force-Knacken von Passwörtern, das Aufzählen von Identifikatoren oder das Finden von SQL-Injection-Fehlern verwenden. Intruder funktioniert, indem eine Anfragevorlage definiert, Positionen für Payloads markiert und dann Payload-Sets und Angriffstypen konfiguriert werden.

Nehmen Sie sich einen Moment Zeit, um die Benutzeroberflächen von Repeater und Intruder zu betrachten, um ein Gefühl für ihren Zweck und ihr Layout zu bekommen.

Auffinden des Tabs "Extender" für BApp Store und Erweiterungen

In diesem letzten Schritt unserer Tour erkunden Sie den Tab Extender, der es Ihnen ermöglicht, die Fähigkeiten von Burp Suite mit Erweiterungen zu erweitern.

Klicken Sie auf den Tab Extender.

Dieser Bereich ist die zentrale Anlaufstelle für die Verwaltung von Burp Suite-Erweiterungen, bei denen es sich um Add-ons handelt, die neue Funktionalitäten einführen oder sich in andere Werkzeuge integrieren können. Die wichtigsten Unterregisterkarten hier sind:

  • Extensions (Erweiterungen): Diese Liste zeigt alle Erweiterungen an, die derzeit in Burp geladen sind. Sie können Ihre Erweiterungen von hier aus hinzufügen, entfernen und konfigurieren.
  • BApp Store: Dies ist das offizielle Repository von Burp für Erweiterungen, die von der Community und den Mitarbeitern von PortSwigger geschrieben wurden. Sie können den Store durchsuchen, Details zu jeder Erweiterung anzeigen und sie mit einem einzigen Klick direkt in Burp installieren.
  • APIs: Diese Unterregisterkarte bietet Dokumentation für Entwickler, die ihre eigenen Erweiterungen mit Java, Python oder Ruby schreiben möchten.
  • Settings (Einstellungen): Hier können Sie Einstellungen für Java-, Python- und Ruby-Umgebungen für die Ausführung von Erweiterungen konfigurieren.

Durchsuchen Sie den BApp Store, um die große Vielfalt der verfügbaren Erweiterungen zu sehen. Diese Erweiterbarkeit ist einer der Hauptgründe für die Beliebtheit von Burp Suite.

Zusammenfassung

In diesem Lab haben Sie Burp Suite erfolgreich gestartet und eine umfassende Tour durch seine Benutzeroberfläche absolviert. Sie sind nun mit dem Zweck und dem Layout der wichtigsten Tabs vertraut:

  • Dashboard: Die zentrale Anlaufstelle für die Überwachung von Aufgaben, Ereignissen und Problemen.
  • Target: Zum Definieren des Umfangs und Anzeigen der Site-Map der Anwendung.
  • Proxy: Zum Abfangen und Protokollieren von HTTP/S-Verkehr.
  • Repeater: Zum manuellen Ändern und erneuten Senden einzelner Anfragen.
  • Intruder: Zur Automatisierung angepasster Angriffe und Fuzzing.
  • Extender: Zur Verwaltung von Erweiterungen und zur Erweiterung der Funktionalität von Burp über den BApp Store.

Mit diesem grundlegenden Verständnis der Burp Suite-Benutzeroberfläche sind Sie nun bereit, fortgeschrittenere Labs zu bearbeiten, die aktive Webanwendungs-Sicherheitstests beinhalten.