10 советов по использованию BurpSuite
Этичный ХакерBurp Suite - это мощный инструмент для тестирования безопасности веб-приложений и один из самых популярных инструментов в отрасли.
В этой статье мы поведуем вам о некоторых советах при использовании Burp Suite.
К концу этой статьи вы будете лучше понимать, как использовать возможности Burp Suite для улучшения ваших навыков тестирования безопасности веб-приложений и поиска критических уязвимостей, которые, возможно, были упущены из виду.
Давайте начнем!
1. Выполняйте сканирование только определенных конечных точек
Большинство из нас используют функцию сканера Burp Suite для поиска дыр в системе безопасности. Однако очень важно производить как можно меньше шума во время сканирования.
В Burp Suite можно сканировать определенные конечные точки.
Для этого перехватите запрос и отправьте его на вкладку "Intruder".
Вручную выберите конечные точки для сканирования, затем, чтобы настроить тип сканирования, щелкните правой кнопкой мыши и выберите Scan defined insertion points.
Это повышает производительность и позволяет сканировать определенную конечную точку.
2. Разница между копированием URL-адресов на этом хостинге и копированием ссылок на этом хосте
Эта функция позволяет пользователям копировать URL-адреса и ссылки с хостинга.
Но в чем разница между копированием URL-адресов и ссылок?
- Что ж, это просто.
Скопируйте URL-адреса на этом узле скопируйте все ссылки, найденные в целевом объекте, включая ссылки, ссылающиеся на сторонние сайты, которые не входят в область действия.
Копировать ссылки в этих URL-адресах копируйте только те URL-адреса, которые находятся в области видимости.
3. Выполните сглаживание каталогов в Burp suite
Знаете ли вы, что Burp Suite также можно использовать для выполнения размытия каталогов?
Выберите целевой домен на вкладке "Target" и щелкните правой кнопкой мыши, чтобы получить доступ к инструментам взаимодействия > Обнаружить контент. (Доступно только в про версии)
Теперь вы увидите новое всплывающее окно с конфигурацией размытия каталогов. Вы можете использовать свои предпочтительные списки слов.
Вы также можете настроить его для поиска определенных расширений файлов.
4. Автоматическое резервное копирование проектов
Burp Suite позволяет пользователям сохранять свои проекты для последующего использования. Проблема возникает, когда программа burp неожиданно выходит из строя, что приводит к потере данных.
Чтобы решить эту проблему, Burp предоставляет возможность сохранять проекты через заранее определенные промежутки времени.
Перейдите в Настройки пользователя > Разное и найдите опцию Автоматическое резервное копирование проекта.
Пользователи могут настроить сохранение своих проектов через определенные промежутки времени и указать, какие целевые объекты включать в резервную копию.
5. Установите пользовательские сочетания клавиш
Burp Suite предлагает набор сочетаний клавиш, которые можно использовать для облегчения тестирования.
Перейдите в Настройки пользователя > Разное и выберите Горячие клавиши.
Пользователи могут назначать свои горячие клавиши.
6. Запланируйте задачи Burp Suite
Burp Suite предоставляет пользователям возможность запланировать выполнение задачи.
Вы можете использовать планировщик задач для запуска и остановки определенных задач через заранее определенные промежутки времени. Вы можете использовать планировщик задач для запуска и остановки определенных автоматизированных задач, когда вы не работаете на регулярной или повторяющейся основе.
Перейдите в "Параметры проекта" > "Разное" и найдите опцию "Запланированные задачи".
На следующем экране нажмите Добавить, и вам будет предложено два варианта.
Чтобы приостановить или возобновить выполнение задачи.
Введите время, в течение которого должна выполняться задача. Задачу можно запланировать для выполнения один раз в определенное время или через регулярные промежутки времени.
7. Определения проблем
Большинство из нас просматривает веб-страницы в поисках уязвимости, но это действие можно автоматизировать.
Знаете ли вы, что Burp Suite имеет это по умолчанию, и это можно найти в разделе Цель > Определения проблем.
8. Библиотека конфигурации Burp (Пользовательские конфигурации сканирования)
Burp Suite имеет широкий спектр конфигураций сканирования, таких как критические проблемы, расширения и так далее.
Однако мы можем настроить ваш профиль сканирования в соответствии с вашими конкретными требованиями.
Перейдите в Burp > Библиотека конфигурации, и на следующем экране вам будут представлены параметры сканирования.
Нажмите кнопку Создать, чтобы начать создавать конфигурации сканирования.
По умолчанию Burp Suite имеет множество конфигураций сканирования по умолчанию. Выберите нужную вам конфигурацию и создайте профиль сканирования.
Когда настройка сканирования будет завершена, присвойте ей имя и сохраните его. Затем на панели мониторинга выберите Новое сканирование, чтобы использовать пользовательскую конфигурацию.
На следующем всплывающем экране выберите опцию Выбрать из библиотеки, затем найдите и выберите вновь созданную конфигурацию сканирования.
9. Проверьте, работает ли сервер Collaborator по умолчанию
Burp Collaborator - это сетевой сервис, используемый Burp Suite для оказания помощи в обнаружении уязвимостей с помощью внешнего сервиса.
Но что, если мы просто хотели проверить, запущен ли сервер Burp collaborator или атака не удалась?
Чтобы проверить это, перейдите в "Параметры проекта" > "Разное" и нажмите кнопку "Выполнить проверку работоспособности".
Это вернет информацию о состоянии работоспособности Burp.
10. Имитация ручного тестирования
Эта функция не повысит вашу производительность, но время от времени может быть полезна. Чтобы имитировать трафик, проверяемый вручную на проникновение, функция отправляет обычные тестовые полезные нагрузки по случайным URL-адресам и параметрам через нерегулярные промежутки времени.
Его единственная цель - позволить вам сделать перерыв в тестировании, оставаясь активным в журналах сервера. Будут запрошены только те элементы с карты сайта, которые вы выбрали.
Перейдите на вкладку "Цель" и выберите домен, для которого вы хотите выполнить имитационное тестирование.
Затем в разделе Инструменты взаимодействия выберите Имитировать ручное тестирование.
На следующем экране установите флажок, чтобы начать имитацию тестирования вручную.
Хотя существует множество настроек Burp Suite, я надеюсь, что рассмотрел несколько интересных и полезных приемов для эффективного использования Burp Suite.
Помните, что всегда нужно сохранять любопытство, продолжать учиться и адаптироваться и никогда не прекращать совершенствовать свое ремесло.