Burp suite
I denne artikel vil jeg forklare hvad Burp Suite er og hvordan det kan bruges til at teste sikkerheden på en webapplikation.
Introduktion
Hvad er Burp Suite?
Burp Suite er et værktøj til at sikkerhedsteste webapplikationer, det er udviklet af PortSwigger. Det bruges af sikkerhedseksperter til at identificere og udnytte sårbarheder i webapplikationer.
Burp Suite til Web Applikationer
Proxy
Burp Suite fungerer som en proxy, der fanger og analyserer HTTP/HTTPS trafik imellem din browser og webapplikationen. Dette giver mulighed for at inspicere og ændre anmodninger og svar. Den hjælper med at kigge under kølerhjelmen på en web applikation for at se hvordan den fungerer.
På billedet nedenfor kører burp suite til venstre og min blog til højre. Når jeg klikker på en side igennem burps proxy, så bremser request og resterende requests bliver sat i kø, som vist på listen i burp vinduet. Hver request kan man se præcis hvad der står i den givne request (nederst i venstre hjørne). Her vil man eksempelvis kunne se om billederne bliver loadet fra. Dette kan give et hint om hvor man kan finde andre interessante ressourcer.
Passive crawl
Burp suites passive crawl giver et overblik over alle tilgængelige sider på domænet. Som ses nedenfor har jeg fået en fin liste over alle siderne på min blog. Dette kan være en hjælp til hurtigt at finde login siden, på den side man vil angribe. Skjulte sider som ikke er låst med authentication eller login, vil også blive fundet på denne måde.
Intruder
Intruder er et kraftfuldt værktøj til at udføre brute force og andre automatiserede angreb. Dette kan bruges til at teste for svage adgangskoder, parameter manipulation og meget mere.
Fra et hvilket som helst sted i burp suite kan man højre klikke på en request og klikke på send til intruder.
Fra intruder er der prekonfigurerede automatiserede angreb som man kan bruge imod en request.
Repeater
Repeater giver muligheden for manuelt at ændre og gensende HTTP/HTTPS anmodninger. Dette kan være nyttigt til at teste specifikke input og se, hvordan applikationen reagerer.
Pentesting af Web Applikationer med Burp Suite
Identifikation af Sårbarheder
Burp Suite kan bl.a. bruges til at identificere almindelige sårbarheder som SQL Injection, XSS og CSRF. Brug scanneren til at automatisere denne proces og Repeater til manuel testning.
Manuel Testning
Brug Burp Suite's værktøjer som Repeater og Intruder til manuel testning af webapplikationer. Det giver mulighed for at udføre mere målrettede og detaljerede tests.
Analyse af .NET Aspire Applikationer med Burp Suite
Opsætning af Burp Suite med .NET Aspire
For at teste en .NET Aspire applikation med Burp Suite skal man konfigurere sin browser til, at bruge Burp Suite som en proxy. Dette giver mulighed for at fange og analysere trafik mellem browser og applikationen.
Hvad man skal lede efter
Når man tester en .NET Aspire applikation, skal man være opmærksom på specifikke sårbarheder som SQL Injection, XSS, og CSRF. Derudover bør man teste for svagheder i autentificering og autorisation.
Eksempler på Testning
Brug Burp Suite's Repeater til at ændre og gensende anmodninger til din .NET Aspire applikation. Brug Intruder til at udføre brute force angreb på login-formularer og andre inputfelter.
Refleksion
Det har været utroligt spændende at dykke ned i Burp Suite. Jeg har holdt mig til community edition som er gratis, hvilket fraholder mig fra nogle funktioner bl.a. til automatiserede tests. Man får alligevel mange funktioner med den gratis udgave, så der har været nok at se til.
Da jeg undersøgte vores aspire .NET applikation så kunne jeg ikke finde post requesten hvor brugernavn og password blev sendt mod vores API. Det er et rigtig godt tegn.
Spiderværktøjet "Passive Crawl" var virkelig også tankevækkende. Det gav mig lynhurtigt et overblik over alle sider under det pågældende domæne, i det her tilfælde "Localhost:port". Men hvis vores system var deployet, så ville jeg bare få alle sider på www.voressystem.dk/* (* betyder alle undersider).
Det fik mig til at tænke at subdomæner var en god sikkerhedsforanstaltning mod denne slags recognoscering. Subdomæner er: subdomæne.voressystem.dk.