Kako koristiti Burp Suite Intruder za testiranje potencijalno ranjivih web polja

Prilikom testiranja web-mjesta na sigurnosne probleme, jedna od glavnih stvari za koje morate držati oči otvorene je interakcija korisnika. Korisnička interakcija je svaka radnja koja uključuje obradu web-mjesta nekog oblika radnje korisnika. To može biti u JavaScriptu na korisnikovom pregledniku ili u interakciji s poslužiteljem, kao što je PHP obrazac. Drugi izvor problema su varijable, koje ne moraju izravno proizaći iz korisničkog unosa i umjesto toga kontrolirati drugi aspekt stranice.

Intruder je dizajniran da bude alat za automatizaciju testiranja bilo kojeg potencijalnog izvora ranjivosti. Kao i kod drugih ugrađenih alata kao što je Repeater, Intruderu možete poslati zahtjev koji želite urediti putem izbornika desnim klikom. Poslani zahtjevi će tada biti vidljivi na kartici Uljez.

Napomena: Korištenje Burp Suite Intruder na web stranici za koju nemate dopuštenje moglo bi biti kazneno djelo prema raznim zakonima o zlouporabi računala i hakiranju. Prije pokušaja provjerite imate li dopuštenje vlasnika web-mjesta.

Kako koristiti Intruder

Općenito ne morate konfigurirati podkarticu "Cilj" na kartici Uljez. Ako pošaljete zahtjev, on automatski popunjava vrijednosti koje su vam potrebne za slanje zahtjeva na pravi poslužitelj. Bilo bi stvarno korisno samo ako želite ručno izraditi cijeli zahtjev ili ako želite pokušati onemogućiti HTTPS.

Kartica Target se koristi za konfiguriranje hosta koji se napada.

Potkartica “Pozicije” koristi se za odabir mjesta u zahtjevu na koje želite umetnuti korisne podatke. Podrigivanje automatski identificira i ističe što je više moguće varijabli, međutim, vjerojatno ćete htjeti suziti napad na samo jednu ili dvije točke umetanja odjednom. Za brisanje odabranih točaka umetanja, kliknite "Izbriši §" na desnoj strani. Da biste dodali točke umetanja, označite područje koje želite promijeniti, a zatim kliknite "Dodaj §".

Padajući okvir vrste napada koristi se za određivanje načina na koji se korisni tereti isporučuju. "Snajper" koristi jedan popis nosivosti i cilja svaku točku umetanja jednu po jednu. "Oven" koristi jedan popis nosivosti, ali umeće korisni teret u sve točke umetanja odjednom. Pitchfork koristi više korisnih opterećenja, umeće svaki u odgovarajuću numeriranu točku umetanja, ali uvijek koristi samo isti numerirani unos sa svakog popisa. "Cluster bomb" koristi sličnu strategiju kao i vile, ali pokušava svaku kombinaciju

Kartica Pozicije koristi se za odabir mjesta na koje će se umetnuti korisni tereti.

Potkartica "Korisni teret" koristi se za konfiguriranje korisnih opterećenja koja se pokušavaju. Vrsta korisnog opterećenja koristi se za konfiguriranje načina na koji specificirate korisna opterećenja. Donji odjeljak varira ovisno o vrsti korisnog opterećenja, ali se uvijek koristi za određivanje vrijednosti popisa korisnog opterećenja. Obrada korisnog tereta omogućuje vam izmjenu korisnih tereta dok se šalju. Prema zadanim postavkama, Intruder URL kodira niz posebnih znakova, to možete onemogućiti tako da poništite potvrdni okvir na dnu stranice.

Kartica korisnih tereta koristi se za konfiguriranje korisnih tereta koji će se umetnuti u točke umetanja.

Podkartica "Opcije" omogućuje vam konfiguriranje brojnih pozadinskih postavki za skener. Možete dodati sustave za podudaranje rezultata temeljene na grep koji su dizajnirani da vam pomognu identificirati ključne informacije iz smislenih rezultata. Prema zadanim postavkama, Intruder ne slijedi preusmjeravanja, to se može omogućiti na dnu podkartice.

Kartica Opcije omogućuje vam da konfigurirate neke dodatne pozadinske opcije, ali se općenito može ostaviti na miru.

Da biste pokrenuli napad, kliknite "Pokreni napad" u gornjem desnom kutu bilo koje od podkartica "Uljez", napad će se pokrenuti u novom prozoru. Za besplatno “Community” izdanje Burpa, Intruder je jako ograničen na brzinu, dok Professional verzija radi punom brzinom.