LabEx
LoginBeitreten

Eine Anfrage an Repeater in Burp Suite senden

Beginner
Jetzt üben

Einleitung

Burp Suite ist ein unverzichtbares Werkzeug für das Testen der Sicherheit von Webanwendungen. Eine seiner leistungsfähigsten Funktionen ist das Repeater-Tool, mit dem Sie einzelne HTTP-Anfragen manuell bearbeiten und erneut senden sowie die Antwort der Anwendung analysieren können. Dies ist von unschätzbarem Wert für das Testen auf Schwachstellen, die Bestätigung von Erkenntnissen und das Verständnis der Anwendungslogik.

In diesem Lab lernen Sie den grundlegenden, aber entscheidenden Workflow des Sendens einer Anfrage aus der Proxy-Historie von Burp an das Repeater-Tool kennen. Dies ist der erste Schritt bei jeder manuellen Anfragebearbeitung.

Zielanwendung aufrufen

In diesem Schritt starten Sie Burp Suite und rufen eine einfache Webanwendung auf. Diese Aktion generiert HTTP-Traffic, den der Proxy von Burp abfangen und protokollieren kann.

Starten Sie zunächst Burp Suite. Sie finden es im Anwendungsmenü oder durch Suchen danach. Sobald es geöffnet ist, wählen Sie die Option für ein temporäres Projekt und klicken Sie auf "Next" (Weiter), dann auf "Start Burp".

Öffnen Sie als Nächstes den im Laborumgebung bereitgestellten Webbrowser. Der Browser ist bereits so konfiguriert, dass sein Datenverkehr über den Proxy von Burp Suite geleitet wird.

Navigieren Sie zur Zielanwendung, indem Sie die folgende URL in die Adressleiste des Browsers eingeben:

http://127.0.0.1:8000

Sie sollten eine einfache Willkommensseite sehen. Diese Interaktion wurde nun von Burp Suite protokolliert.

Anfrage im Tab Proxy > HTTP-Verlauf finden

In diesem Schritt finden Sie die gerade gemachte Anfrage im Proxy-Verlauf von Burp Suite. Jede Anfrage, die den Proxy durchläuft, wird hier aufgezeichnet und bietet ein vollständiges Protokoll Ihrer Browseraktivitäten.

Richten Sie Ihre Aufmerksamkeit vom Browser auf das Burp Suite-Fenster.

  1. Klicken Sie auf den Tab Proxy oben.
  2. Klicken Sie innerhalb des Tabs Proxy auf den Unter-Tab HTTP history.

Sie sehen eine Tabelle, die alle HTTP-Anfragen auflistet, die Ihr Browser gemacht hat. Suchen Sie nach der Anfrage an Ihre Zielanwendung. Sie wird 127.0.0.1 in der Spalte Host und / in der Spalte URL haben.

##   Host          Method  URL   Params  Edited  Status  ...
----------------------------------------------------------
1   127.0.0.1     GET     /     No      No      200     ...
2   ...           ...     ...   ...     ...     ...     ...

Klicken Sie auf diese Anfrage in der Tabelle, um sie auszuwählen. Sie sehen die vollständigen Anfrage- und Antwortdetails in den Bereichen unterhalb der Tabelle.

Rechtsklick auf die Anfrage

In diesem Schritt öffnen Sie das Kontextmenü für die ausgewählte Anfrage. Dieses Menü ist der primäre Weg, um mit Anfragen zu interagieren und sie an andere Burp Suite-Tools zur weiteren Analyse zu senden.

Wenn die GET /-Anfrage an 127.0.0.1 immer noch in der Tabelle HTTP history ausgewählt ist, klicken Sie mit der rechten Maustaste auf eine beliebige Stelle dieser Zeile.

Ein großes Kontextmenü wird angezeigt. Dieses Menü enthält eine Vielzahl von Aktionen, die Sie mit der Anfrage durchführen können, wie zum Beispiel:

  • Send to Repeater (An Repeater senden)
  • Send to Intruder (An Intruder senden)
  • Send to Sequencer (An Sequencer senden)
  • Do an active scan (Aktiven Scan durchführen)
  • Save item (Element speichern)

Für dieses Labor sind wir an der Option Send to Repeater interessiert.

'Send to Repeater' aus dem Kontextmenü auswählen

In diesem Schritt führen Sie die Aktion aus, die erfasste Anfrage an das Burp Repeater-Tool zu senden.

Während das Kontextmenü noch geöffnet ist, bewegen Sie den Mauszeiger über die Option Send to Repeater und klicken Sie darauf.

Alternativ können Sie die Tastenkombination verwenden. Wenn die Anfrage ausgewählt ist, drücken Sie einfach Strg+R.

Diese Aktion verschiebt die Anfrage nicht; sie kopiert sie. Die ursprüngliche Anfrage verbleibt in Ihrem Proxy-Verlaufsprotokoll. Eine Kopie wird nun im Repeater-Tool in die Warteschlange gestellt und ist bereit zur Bearbeitung. Möglicherweise stellen Sie fest, dass sich der Tab Repeater am oberen Rand des Burp Suite-Fensters farblich verändert hat (z. B. zu Orange), um anzuzeigen, dass er ein neues Element erhalten hat.

Überprüfen, ob die Anfrage in einem neuen Repeater-Tab erscheint

In diesem Schritt navigieren Sie zum Repeater-Tool und bestätigen, dass die Anfrage erfolgreich angekommen ist.

Klicken Sie auf den Haupt-Tab Repeater am oberen Rand des Burp Suite-Fensters.

Sie sehen die Repeater-Oberfläche, die in zwei Hauptbereiche unterteilt ist:

  • Anfrage-Panel (Links): Dieses Panel enthält die rohe HTTP-Anfrage, die Sie gerade gesendet haben. Sie sehen die Zeile GET / HTTP/1.1, den Header Host: 127.0.0.1:8000 und andere Anfrage-Header. Dieses gesamte Panel ist editierbar.
  • Antwort-Panel (Rechts): Dieses Panel ist zunächst leer. Es wird die Antwort des Servers anzeigen, nachdem Sie die Anfrage gesendet haben.

Bestätigen Sie, dass die Anfragedetails im linken Panel mit der Anfrage übereinstimmen, die Sie aus dem Proxy-Verlauf ausgewählt haben. Um den Zyklus abzuschließen, klicken Sie auf die Schaltfläche Send (Senden) oben im Anfrage-Panel. Die Antwort des Servers wird dann im rechten Panel angezeigt.

Sie haben nun erfolgreich eine Anfrage vom Proxy zum Repeater verschoben und sind bereit für manuelle Tests.

Zusammenfassung

In diesem Lab haben Sie eine grundlegende Fähigkeit für die effektive Nutzung von Burp Suite erlernt. Sie haben erfolgreich eine HTTP-Anfrage mit dem Proxy erfasst, sie im HTTP-Verlauf gefunden und an das Repeater-Tool zur manuellen Analyse gesendet.

Dieser Workflow – Proxy zu Repeater – ist die Grundlage für unzählige Web-Sicherheitstests und ermöglicht es Ihnen, Anfragen im laufenden Betrieb zu manipulieren, um nach Schwachstellen wie SQL-Injection, Cross-Site Scripting (XSS) und unsicheren direkten Objektverweisen zu suchen. Herzlichen Glückwunsch zum Abschluss dieses wesentlichen Schritts zur Beherrschung von Burp Suite.