Introduction
Après avoir exécuté une attaque dans Burp Intruder, l'étape cruciale suivante consiste à analyser les résultats pour identifier les vulnérabilités potentielles. Le tableau des résultats fournit une mine d'informations, mais savoir comment le trier, le filtrer et l'inspecter efficacement est essentiel pour trouver des failles de sécurité.
Dans ce laboratoire, vous apprendrez les techniques fondamentales pour analyser une attaque Intruder terminée. Afin de nous concentrer uniquement sur le flux d'analyse, nous utiliserons un fichier de projet Burp Suite pré-chargé qui contient déjà les résultats d'attaque. Vous apprendrez comment lancer Burp Suite, ouvrir le projet et utiliser les outils intégrés pour examiner les résultats.
Afficher le tableau des résultats d'une attaque Intruder terminée
Dans cette étape, vous lancerez Burp Suite et ouvrirez un projet existant pour visualiser les résultats d'une attaque pré-exécutée. C'est le point de départ de toute analyse.
Tout d'abord, ouvrez un terminal depuis le menu de l'application de bureau.
Lancez maintenant Burp Suite Community Edition en exécutant la commande suivante dans le terminal. Le chargement peut prendre un moment.
burpsuite
Une boîte de dialogue de démarrage apparaîtra. Comme nous utilisons un projet pré-configuré, sélectionnez Open an existing project (Ouvrir un projet existant) et cliquez sur Next (Suivant).
Dans la fenêtre de sélection de fichiers, naviguez jusqu'au répertoire /home/labex/project. Vous verrez un fichier nommé burp-intruder-results.bpr. Sélectionnez ce fichier et cliquez sur Open (Ouvrir).
Cliquez sur Start Burp (Démarrer Burp) sur l'écran de dialogue final.
Une fois Burp Suite chargé, naviguez jusqu'à l'onglet Intruder. Vous verrez qu'une attaque a déjà été exécutée et que l'onglet Results (Résultats) est rempli de données. Prenez un moment pour examiner les colonnes disponibles, telles que Request (Requête), Payload (Charge utile), Status (Statut) et Length (Longueur).
Trier les résultats par code 'Status'
Dans cette étape, vous apprendrez à trier les résultats de l'attaque par le code de statut HTTP. Le tri est un moyen rapide de regrouper les réponses similaires et de repérer les valeurs aberrantes. Différents codes de statut peuvent indiquer différents comportements de l'application, ce qui est utile pour l'analyse.
Dans l'onglet Intruder > Results (Intruder > Résultats), localisez l'en-tête de colonne nommé Status (Statut).
Cliquez sur l'en-tête de la colonne Status. Le tableau triera tous les résultats en fonction du code de statut HTTP par ordre croissant. Cliquer à nouveau sur l'en-tête le triera par ordre décroissant.
Triez le tableau afin de voir s'il existe des codes de statut autres que 200 OK. Par exemple, un 302 Found pourrait indiquer une redirection de connexion réussie, tandis qu'un 403 Forbidden ou un 500 Internal Server Error pourrait également être intéressant et mériter une investigation plus approfondie. Regrouper ces codes ensemble les rend faciles à trouver.
Trier les résultats par 'Length' pour trouver des anomalies
Dans cette étape, vous trierez les résultats par longueur de réponse pour identifier les anomalies. Dans de nombreux types d'attaques, comme la devinette de mots de passe ou la découverte de contenu, une tentative réussie entraîne souvent une réponse dont la longueur diffère de celle des tentatives infructueuses.
Dans l'onglet Intruder > Results (Intruder > Résultats), localisez l'en-tête de colonne nommé Length (Longueur).
Cliquez sur l'en-tête de la colonne Length pour trier les résultats. Observez les valeurs. Vous verrez probablement un grand nombre de réponses ayant exactement la même longueur. Celles-ci représentent généralement la réponse de base "échouée" ou "par défaut" du serveur.
Cliquez à nouveau sur l'en-tête Length pour trier dans la direction opposée. Toute réponse dont la longueur est significativement différente, soit beaucoup plus longue, soit beaucoup plus courte, est une anomalie qui mérite une inspection plus approfondie. C'est l'une des méthodes les plus efficaces pour trouver des résultats intéressants dans un grand ensemble de données.
Cliquer sur un résultat pour afficher la requête et la réponse complètes
Dans cette étape, vous sélectionnerez un résultat intéressant dans le tableau pour afficher la requête et la réponse HTTP complètes. Après avoir identifié une anomalie potentielle par le tri, vous devez examiner le trafic brut pour comprendre ce qui s'est passé.
Tout d'abord, identifiez une ligne intéressante dans le tableau des résultats. Il peut s'agir d'une ligne avec un code de statut unique ou une longueur de réponse qui se démarque des autres.
Cliquez sur cette ligne unique pour la sélectionner.
Une fois qu'une ligne est sélectionnée, regardez les panneaux sous le tableau des résultats. Vous verrez un ensemble d'onglets pour la Request (Requête) et la Response (Réponse).
- Cliquez sur l'onglet Request pour voir la requête HTTP exacte que Burp a envoyée au serveur. Vous pouvez voir la charge utile (payload) qui a été injectée pour cette requête spécifique.
- Cliquez sur l'onglet Response pour voir la réponse complète du serveur.
En passant de la requête à la réponse, vous pouvez analyser pourquoi une charge utile particulière a entraîné une réponse anormale. Par exemple, une longueur de réponse différente pourrait être due à un message d'erreur ou à un message de connexion réussi apparaissant dans le corps de la réponse.
Utiliser la barre 'Filter' pour masquer les résultats non pertinents
Dans cette étape, vous utiliserez la barre de filtre pour masquer les résultats non pertinents. Lorsqu'une attaque génère des milliers de résultats, le tri et le défilement manuels sont inefficaces. Le filtre est un outil puissant pour affiner la vue afin de ne conserver que ce qui est important.
Juste au-dessus du tableau des résultats, vous trouverez la barre Filter (Filtre). Cette fonctionnalité vous permet d'afficher ou de masquer les résultats en fonction de divers critères.
Essayons un exemple pratique. Après avoir trié par longueur, vous avez probablement remarqué une longueur de réponse très courante pour les tentatives échouées. Disons que cette longueur est de 4850.
- Tapez
4850dans la zone de texte du filtre. - Cochez le bouton radio Hide (Masquer).
- Le tableau des résultats masquera désormais toutes les réponses dont la longueur est de
4850, ce qui facilitera grandement la visualisation des quelques résultats anormaux restants.
Vous pouvez également filtrer par d'autres attributs, tels que le code de statut ou les termes de recherche dans la réponse. Pour effacer un filtre, supprimez simplement le texte de la zone de saisie. Expérimentez avec le filtre pour voir comment il peut vous aider à concentrer votre analyse.
Résumé
Dans ce laboratoire, vous avez appris les techniques fondamentales pour analyser les résultats d'attaques dans Burp Intruder. Ces compétences sont essentielles pour trouver efficacement des vulnérabilités à partir d'attaques automatisées.
Vous avez commencé par ouvrir un projet Burp préexistant et naviguer vers le tableau des résultats d'Intruder. Vous vous êtes ensuite exercé à trier les résultats par code de statut HTTP et par longueur de réponse pour identifier rapidement les anomalies. Ensuite, vous avez appris à inspecter la requête et la réponse complètes de tout résultat donné pour comprendre le comportement du serveur. Enfin, vous avez utilisé la puissante fonctionnalité de filtre pour masquer le bruit et vous concentrer sur les résultats les plus intéressants.
La maîtrise de ce flux d'analyse accélérera considérablement votre capacité à traiter la sortie des outils automatisés et à identifier les failles de sécurité.



