LabEx
LoginBeitreten

Den eingebetteten Browser in Burp Suite verwenden

Beginner
Jetzt üben

Einleitung

Burp Suite ist eine leistungsstarke Plattform für die Sicherheitsprüfung von Webanwendungen. Eine seiner Kernfunktionen ist der Proxy-Server, der sich zwischen Ihrem Browser und der Zielanwendung befindet und es Ihnen ermöglicht, den Datenverkehr abzufangen, zu inspizieren und zu modifizieren.

Traditionell erforderte die Verwendung eines Proxys die manuelle Konfiguration der Netzwerkeinstellungen Ihres Webbrowsers. Dieser Prozess kann mühsam sein und manchmal mit anderen System- oder Netzwerkeinstellungen in Konflikt geraten. Um diesen Arbeitsablauf zu optimieren, enthält Burp Suite einen eingebetteten Browser. Dies ist ein vorkonfigurierter Chromium-Browser, der innerhalb von Burp Suite gestartet wird und automatisch für die Verwendung des Burp Proxys eingerichtet ist.

In diesem Lab lernen Sie, wie Sie den eingebetteten Browser von Burp Suite starten und verwenden, um Webdatenverkehr ohne manuelle Konfiguration zu erfassen.

Zum Tab Proxy > Intercept navigieren

In diesem Schritt starten Sie Burp Suite und navigieren zum Haupt-Tab, der zum Abfangen von Datenverkehr verwendet wird.

Finden Sie zuerst das Symbol für die Burp Suite Community Edition auf dem Desktop und doppelklicken Sie darauf, um die Anwendung zu starten.

Ein Dialogfeld mit dem Titel "Burp Suite Community Edition" wird angezeigt. Es kann darauf hinweisen, dass eine neue Version verfügbar ist; Sie können dies ignorieren. Der Dialog "Project" wird ebenfalls angezeigt. Wir werden für dieses Lab ein temporäres Projekt verwenden.

  1. Wählen Sie im Dialogfeld "Select project" Temporary project aus und klicken Sie auf Next.
  2. Wählen Sie im Dialogfeld "Select configuration" Use Burp defaults aus und klicken Sie auf Start Burp.

Nach einem Moment öffnet sich das Hauptfenster von Burp Suite. Die Benutzeroberfläche ist in mehrere Tabs auf der Oberseite unterteilt. Für dieses Lab interessiert uns der Tab Proxy.

Klicken Sie auf den Tab Proxy. Standardmäßig wird er auf seinem eigenen Unter-Tab, Intercept, geöffnet. Dies ist der Bildschirm, auf dem Sie Live-HTTP/S-Anfragen und -Antworten anzeigen und ändern können, während sie den Proxy passieren.

Stellen Sie sicher, dass Sie sich auf dem Tab Proxy > Intercept befinden, bevor Sie mit dem nächsten Schritt fortfahren.

Auf die Schaltfläche 'Open Browser' klicken

In diesem Schritt starten Sie den eingebetteten Browser von Burp.

Wenn der Tab Proxy > Intercept sichtbar ist, sehen Sie mehrere Schaltflächen. Eine davon ist mit Open Browser beschriftet. Diese Schaltfläche ist der Schlüssel zur Nutzung der eingebetteten Browserfunktion.

Durch Klicken auf diese Schaltfläche wird eine neue Instanz des Chromium-Browsers gestartet, die isoliert (sandboxed) und vorkonfiguriert ist, um ihren gesamten Datenverkehr über die Burp Suite Proxy-Instanz zu leiten, die auf 127.0.0.1:8080 läuft.

Klicken Sie nun auf die Schaltfläche Open Browser.

Beobachten Sie das Starten des neuen Chromium-Browserfensters

Nachdem Sie im vorherigen Schritt auf die Schaltfläche geklickt haben, sollte ein neues Browserfenster auf Ihrem Bildschirm erscheinen.

Dies ist der eingebettete Browser von Burp. Beachten Sie, dass er wie ein Standard-Chromium-Browser aussieht, aber als separater Prozess ausgeführt wird, der von Burp Suite verwaltet wird.

Das Wichtigste ist zu verstehen, dass dieser Browser bereits für das Proxying konfiguriert ist. Sie mussten keine Einstellungsmenüs aufrufen, keine Proxy-Konfigurationen finden oder eine IP-Adresse und Portnummer eingeben. Er funktioniert sofort, indem er seinen gesamten Datenverkehr direkt an Burp Suite zur Abfangen und Protokollierung sendet. Dies spart Zeit und verhindert Konfigurationsfehler.

Nehmen Sie sich einen Moment Zeit, um sich mit diesem neuen Browserfenster vertraut zu machen. Sie werden es im nächsten Schritt verwenden, um eine Zielwebsite zu besuchen.

Den eingebetteten Browser zur Navigation zu einem Ziel verwenden

In diesem Schritt verwenden Sie den eingebetteten Browser, um eine Website zu besuchen und zu sehen, wie Burp Suite den Datenverkehr abfängt.

Standardmäßig ist die Interzeption in Burp Suite aktiviert. Das bedeutet, dass jede von Ihnen gesendete Anfrage in Burp Suite angehalten wird und auf Ihre Genehmigung wartet, fortzufahren. Für diesen ersten Test schalten wir die Interzeption aus, um das Traffic-Protokoll zu füllen.

  1. Kehren Sie zum Hauptfenster von Burp Suite zurück. Im Tab Proxy > Intercept sehen Sie eine Schaltfläche mit der Aufschrift Intercept is on. Klicken Sie einmal darauf, um die Interzeption zu deaktivieren. Der Text der Schaltfläche ändert sich zu Intercept is off.

  2. Wechseln Sie nun zurück zum zuvor geöffneten eingebetteten Chromium-Browserfenster.

  3. Geben Sie in die Adressleiste des eingebetteten Browsers die folgende URL ein und drücken Sie Enter:

    http://portswigger.net

Da die Interzeption ausgeschaltet ist, wird die Anfrage ohne Unterbrechung durch den Proxy geleitet, und die PortSwigger-Website sollte im Browser geladen werden.

Überprüfen Sie, ob der Datenverkehr von dieser Browser-App ohne manuelle Konfiguration im Proxy-Verlauf angezeigt wird

In diesem letzten Schritt sehen Sie den Beweis dafür, dass der Datenverkehr des eingebetteten Browsers erfolgreich über Burp Suite weitergeleitet wurde.

Navigieren Sie zurück zum Hauptfenster von Burp Suite. Innerhalb des Proxy-Tabs gibt es mehrere Unter-Tabs. Klicken Sie auf den mit dem Namen HTTP history.

Der Tab HTTP history zeigt ein Protokoll aller HTTP-Anfragen an, die den Burp Proxy durchlaufen haben. Sie sollten nun eine Liste von Anfragen sehen, darunter mehrere an den Host portswigger.net. Sie können auf jeden dieser Einträge klicken, um die vollständige Anfrage und Antwort in den darunter liegenden Panels anzuzeigen.

Dies bestätigt, dass der eingebettete Browser wie erwartet funktioniert hat. Sie haben ihn erfolgreich gestartet, eine Website besucht und den daraus resultierenden Datenverkehr in Burp Suite erfasst, und das alles, ohne eine manuelle Browser-Proxy-Konfiguration durchzuführen. Diese nahtlose Integration ist ein wichtiges Merkmal, das Burp Suite effizient und einfach zu bedienen macht.

Zusammenfassung

In diesem Lab haben Sie eine der grundlegendsten und bequemsten Funktionen von Burp Suite kennengelernt: den eingebetteten Browser.

Sie haben erfolgreich:

  • Burp Suite gestartet und zum Proxy-Tab navigiert.
  • Den eingebetteten Chromium-Browser mit einem einzigen Klick geöffnet.
  • Den Browser verwendet, um zu einer Website zu navigieren.
  • Überprüft, ob der Datenverkehr automatisch im Proxy-HTTP-Verlauf ohne manuelle Konfiguration protokolliert wurde.

Die Verwendung des eingebetteten Browsers ist die empfohlene Arbeitsweise mit Burp Suite, da sie eine saubere, isolierte Browsing-Umgebung gewährleistet, die garantiert korrekt für das Proxying konfiguriert ist. Diese Fähigkeit ist unerlässlich für die effiziente Durchführung von Sicherheitstests für Webanwendungen.