LabEx
EntrarJunte-se

Analisar Resultados de Ataque no Burp Intruder

Beginner
Pratique Agora

Introdução

Após executar um ataque no Burp Intruder, o próximo passo crucial é analisar os resultados para identificar potenciais vulnerabilidades. A tabela de resultados fornece uma riqueza de informações, mas saber como classificar, filtrar e inspecionar de forma eficiente é fundamental para encontrar falhas de segurança.

Neste laboratório, você aprenderá as técnicas fundamentais para analisar um ataque Intruder concluído. Para focar exclusivamente no fluxo de trabalho de análise, utilizaremos um arquivo de projeto Burp Suite pré-carregado que já contém os resultados do ataque. Você aprenderá como iniciar o Burp Suite, abrir o projeto e usar as ferramentas integradas para examinar os resultados.

Visualizar a Tabela de Resultados de um Ataque Intruder Concluído

Nesta etapa, você iniciará o Burp Suite e abrirá um projeto existente para visualizar os resultados de um ataque pré-executado. Este é o ponto de partida para qualquer análise.

Primeiro, abra um terminal a partir do menu da aplicação desktop.

Agora, inicie o Burp Suite Community Edition executando o seguinte comando no terminal. Pode levar um momento para carregar.

burpsuite

Uma caixa de diálogo de inicialização aparecerá. Como estamos usando um projeto pré-configurado, selecione Open an existing project (Abrir um projeto existente) e clique em Next (Próximo).

Na janela de seleção de arquivos, navegue até o diretório /home/labex/project. Você verá um arquivo chamado burp-intruder-results.bpr. Selecione este arquivo e clique em Open (Abrir).

Clique em Start Burp (Iniciar Burp) na tela final de diálogo.

Assim que o Burp Suite carregar, navegue até a aba Intruder. Você verá que um ataque já foi executado e a sub-aba Results (Resultados) está preenchida com dados. Reserve um momento para observar as colunas disponíveis, como Request (Requisição), Payload, Status (Status) e Length (Comprimento).

Classificar os Resultados pelo Código de 'Status'

Nesta etapa, você aprenderá como classificar os resultados do ataque pelo código de status HTTP. A classificação é uma maneira rápida de agrupar respostas semelhantes e identificar valores atípicos. Diferentes códigos de status podem indicar diferentes comportamentos da aplicação, o que é útil para a análise.

Na aba Intruder > Results (Intruder > Resultados), localize o cabeçalho da coluna chamado Status.

Clique no cabeçalho da coluna Status. A tabela classificará todos os resultados com base no código de status HTTP em ordem crescente. Clicar no cabeçalho novamente o classificará em ordem decrescente.

Classifique a tabela para que você possa ver se há códigos de status diferentes de 200 OK. Por exemplo, um 302 Found pode indicar um redirecionamento de login bem-sucedido, enquanto um 403 Forbidden ou 500 Internal Server Error também podem ser interessantes e justificar uma investigação mais aprofundada. Agrupar esses códigos juntos facilita a sua localização.

Classificar os Resultados por 'Length' para Encontrar Anomalias

Nesta etapa, você classificará os resultados pelo comprimento da resposta para identificar anomalias. Em muitos tipos de ataques, como adivinhação de senhas ou descoberta de conteúdo, uma tentativa bem-sucedida geralmente resulta em uma resposta com um comprimento diferente das tentativas malsucedidas.

Na aba Intruder > Results (Intruder > Resultados), localize o cabeçalho da coluna chamado Length.

Clique no cabeçalho da coluna Length para classificar os resultados. Observe os valores. Você provavelmente verá um grande número de respostas com o mesmo comprimento exato. Estas geralmente representam a resposta base "falha" ou "padrão" do servidor.

Clique no cabeçalho Length novamente para classificar na direção oposta. Qualquer resposta com um comprimento significativamente diferente — seja muito mais longa ou muito mais curta — é uma anomalia que merece uma inspeção mais detalhada. Esta é uma das maneiras mais eficazes de encontrar resultados interessantes em um grande conjunto de dados.

Clique em um Resultado para Visualizar a Requisição e Resposta Completas

Nesta etapa, você selecionará um resultado interessante da tabela para visualizar a requisição e resposta HTTP completas. Após identificar uma potencial anomalia através da classificação, você precisa examinar o tráfego bruto para entender o que aconteceu.

Primeiro, identifique uma linha interessante na tabela de resultados. Esta pode ser uma linha com um código de status único ou um comprimento de resposta que se destaca do restante.

Clique nessa linha única para selecioná-la.

Uma vez que uma linha é selecionada, observe os painéis abaixo da tabela de resultados. Você verá um conjunto de abas para a Request (Requisição) e Response (Resposta).

  • Clique na aba Request para ver a requisição HTTP exata que o Burp enviou ao servidor. Você pode ver o payload que foi injetado para essa requisição específica.
  • Clique na aba Response para ver a resposta completa do servidor.

Ao alternar entre a requisição e a resposta, você pode analisar por que um payload específico resultou em uma resposta anômala. Por exemplo, um comprimento de resposta diferente pode ser devido a uma mensagem de erro ou a uma mensagem de login bem-sucedida aparecendo no corpo da resposta.

Use a Barra 'Filter' para Ocultar Resultados Desinteressantes

Nesta etapa, você usará a barra de filtro para ocultar resultados desinteressantes. Quando um ataque gera milhares de resultados, classificar e rolar manualmente é ineficiente. O filtro é uma ferramenta poderosa para reduzir a visualização apenas ao que importa.

Logo acima da tabela de resultados, você encontrará a barra Filter. Este recurso permite mostrar ou ocultar resultados com base em vários critérios.

Vamos tentar um exemplo prático. Após classificar por comprimento, você provavelmente notou um comprimento de resposta muito comum para tentativas falhas. Digamos que esse comprimento seja 4850.

  1. Digite 4850 na caixa de texto do filtro.
  2. Marque o botão de rádio Hide (Ocultar).
  3. A tabela de resultados agora ocultará todas as respostas com um comprimento de 4850, tornando muito mais fácil ver os poucos resultados anômalos que permanecem.

Você também pode filtrar por outros atributos, como código de status ou termos de busca na resposta. Para limpar um filtro, simplesmente delete o texto da caixa de entrada. Experimente o filtro para ver como ele pode ajudá-lo a focar sua análise.

Resumo

Neste laboratório, você aprendeu as técnicas fundamentais para analisar resultados de ataques no Burp Intruder. Essas habilidades são essenciais para encontrar eficientemente vulnerabilidades a partir de ataques automatizados.

Você começou abrindo um projeto Burp pré-existente e navegando até a tabela de resultados do Intruder. Em seguida, praticou a classificação dos resultados por código de status HTTP e comprimento da resposta para identificar rapidamente anomalias. Em seguida, aprendeu como inspecionar a requisição e resposta completas de qualquer resultado para entender o comportamento do servidor. Finalmente, você usou o poderoso recurso de filtro para ocultar ruído e focar nos resultados mais interessantes.

Dominar este fluxo de trabalho de análise acelerará significativamente sua capacidade de processar a saída de ferramentas automatizadas e identificar falhas de segurança.