LabEx
ВходРегистрация

Анализ результатов атак в Burp Intruder

Beginner
Практиковаться сейчас

Введение

После выполнения атаки в Burp Intruder, следующим важным шагом является анализ результатов для выявления потенциальных уязвимостей. Таблица результатов предоставляет обширную информацию, но умение эффективно сортировать, фильтровать и просматривать ее является ключом к обнаружению уязвимостей безопасности.

В этой лаборатории вы изучите основные методы анализа завершенной атаки Intruder. Чтобы сосредоточиться исключительно на рабочем процессе анализа, мы будем использовать предварительно загруженный файл проекта Burp Suite, который уже содержит результаты атаки. Вы узнаете, как запустить Burp Suite, открыть проект и использовать встроенные инструменты для изучения результатов.

Просмотр таблицы результатов завершенной атаки Intruder

На этом шаге вы запустите Burp Suite и откроете существующий проект для просмотра результатов предварительно выполненной атаки. Это отправная точка для любого анализа.

Сначала откройте терминал из меню настольного приложения.

Теперь запустите Burp Suite Community Edition, выполнив следующую команду в терминале. Загрузка может занять некоторое время.

burpsuite

Появится диалоговое окно запуска. Поскольку мы используем предварительно настроенный проект, выберите Open an existing project (Открыть существующий проект) и нажмите Next (Далее).

В окне выбора файла перейдите в каталог /home/labex/project. Вы увидите файл с именем burp-intruder-results.bpr. Выберите этот файл и нажмите Open (Открыть).

На последнем экране диалогового окна нажмите Start Burp (Запустить Burp).

После загрузки Burp Suite перейдите на вкладку Intruder. Вы увидите, что атака уже была выполнена, и подвкладка Results (Результаты) заполнена данными. Уделите время, чтобы ознакомиться с доступными столбцами, такими как Request (Запрос), Payload (Полезная нагрузка), Status (Статус) и Length (Длина).

Сортировка результатов по коду 'Status'

На этом шаге вы научитесь сортировать результаты атаки по коду состояния HTTP. Сортировка — это быстрый способ группировать похожие ответы и выявлять аномалии. Различные коды состояния могут указывать на различное поведение приложения, что полезно для анализа.

На вкладке Intruder > Results найдите заголовок столбца Status.

Нажмите на заголовок столбца Status. Таблица отсортирует все результаты по коду состояния HTTP в порядке возрастания. Повторное нажатие на заголовок отсортирует его в порядке убывания.

Отсортируйте таблицу так, чтобы увидеть, есть ли какие-либо коды состояния, отличные от 200 OK. Например, 302 Found может указывать на успешный редирект после входа в систему, в то время как 403 Forbidden или 500 Internal Server Error также могут быть интересны и требовать дальнейшего изучения. Группировка этих кодов вместе облегчает их поиск.

Сортировка результатов по 'Length' для поиска аномалий

На этом шаге вы отсортируете результаты по длине ответа, чтобы выявить аномалии. Во многих типах атак, таких как подбор паролей или обнаружение контента, успешная попытка часто приводит к ответу с длиной, отличающейся от неуспешных.

На вкладке Intruder > Results найдите заголовок столбца Length.

Нажмите на заголовок столбца Length, чтобы отсортировать результаты. Обратите внимание на значения. Вероятно, вы увидите большое количество ответов с абсолютно одинаковой длиной. Обычно это представляет собой базовый "неудачный" или "стандартный" ответ от сервера.

Нажмите заголовок Length еще раз, чтобы отсортировать в обратном направлении. Любой ответ со значительно отличающейся длиной — либо намного длиннее, либо намного короче — является аномалией, которая заслуживает более пристального изучения. Это один из наиболее эффективных способов найти интересные результаты в большом наборе данных.

Щелкните результат, чтобы просмотреть полный запрос и ответ

На этом шаге вы выберете интересный результат из таблицы, чтобы просмотреть полный HTTP-запрос и ответ. После выявления потенциальной аномалии путем сортировки вам необходимо изучить необработанный трафик, чтобы понять, что произошло.

Сначала найдите интересную строку в таблице результатов. Это может быть строка с уникальным кодом состояния или длиной ответа, которая выделяется среди остальных.

Щелкните эту строку, чтобы выбрать ее.

После выбора строки посмотрите на панели под таблицей результатов. Вы увидите набор вкладок для Request (Запрос) и Response (Ответ).

  • Нажмите вкладку Request, чтобы увидеть точный HTTP-запрос, который Burp отправил на сервер. Вы можете увидеть полезную нагрузку (payload), которая была внедрена для данного конкретного запроса.
  • Нажмите вкладку Response, чтобы увидеть полный ответ сервера.

Переключаясь между запросом и ответом, вы можете проанализировать, почему определенная полезная нагрузка привела к аномальному ответу. Например, другая длина ответа может быть вызвана сообщением об ошибке или сообщением об успешном входе в тело ответа.

Используйте панель 'Filter' для скрытия неинтересных результатов

На этом шаге вы будете использовать панель фильтра для скрытия неинтересных результатов. Когда атака генерирует тысячи результатов, ручная сортировка и прокрутка неэффективны. Фильтр — это мощный инструмент для сужения области просмотра только до того, что имеет значение.

Прямо над таблицей результатов вы найдете панель Filter. Эта функция позволяет показывать или скрывать результаты на основе различных критериев.

Давайте попробуем практический пример. После сортировки по длине вы, вероятно, заметили очень распространенную длину ответа для неудачных попыток. Допустим, эта длина равна 4850.

  1. Введите 4850 в текстовое поле фильтра.
  2. Выберите радиокнопку Hide (Скрыть).
  3. Таблица результатов теперь скроет все ответы длиной 4850, что значительно облегчит просмотр оставшихся немногих аномальных результатов.

Вы также можете фильтровать по другим атрибутам, таким как код состояния или поисковые термины в ответе. Чтобы очистить фильтр, просто удалите текст из поля ввода. Поэкспериментируйте с фильтром, чтобы увидеть, как он может помочь вам сосредоточить ваш анализ.

Резюме

В этой лабораторной работе вы изучили основные методы анализа результатов атак в Burp Intruder. Эти навыки необходимы для эффективного поиска уязвимостей с помощью автоматизированных атак.

Вы начали с открытия существующего проекта Burp и перехода к таблице результатов Intruder. Затем вы отработали сортировку результатов как по коду состояния HTTP, так и по длине ответа, чтобы быстро выявлять аномалии. Далее вы научились просматривать полный запрос и ответ любого данного результата, чтобы понять поведение сервера. Наконец, вы использовали мощную функцию фильтрации, чтобы скрыть лишнюю информацию и сосредоточиться на наиболее интересных результатах.

Овладение этим рабочим процессом анализа значительно ускорит вашу способность обрабатывать выходные данные автоматизированных инструментов и выявлять недостатки безопасности.