Clever Geek Handbook

Tipps zur Burp Suite

Burp Suite ist eine Plattform zum Durchführen von Sicherheitstests für Webanwendungen. In diesem Beitrag werde ich einige Tipps zur effektiveren Verwendung dieses Tools geben.





die Einstellungen



Um mit jedem Werkzeug richtig arbeiten zu können, ist es wichtig, es selbst anzupassen. In Burp Suite gibt es zwei Arten von Einstellungen:



  • Benutzeroptionen - Einstellungen für die Burp Suite
  • Projektoptionen - Einstellungen für das, was Sie hacken


Kodierungen



, . UtF-8 . User Options -> Display -> Characters Sets.







Burp Suite . , " ". User Options -> Misc -> Hotkeys. :



  • \:

    • Ctrl+(Shift)+U|H|B “URL|HTML|Base64 (de)code”
  • GUI:

    • Ctrl+Shift+T|P|S|I|R — “ ”
    • Ctrl+I|R|D — " "
  • Burp Repeater:

    • Ctrl+G — " Burp Repeater"


Proxy Interception



, Burp Proxy - , ? . - , . … , . User -> Misc -> Proxy Interseption "Always Disable".







PortSwigger . "", . , — , PortSwigger. User Options -> Misc -> Performance Feedback .



Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server







, . :



  • ( JSON ).
  • .
  • (, git ).
  • :


{
    "project_options":{
        // options
    },
    "user_options":{
        // options
    }
}




Burp Suite . , .





, .





Burp Suite Java, , . :



java -jar -Xmx2048M burp.jar




Burp Suite. :



  • Burp Proxy Burp Suite, , , .
  • Burp Repeater — HTTP-, - .
  • Burp Intruder — -. , , .




, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .







Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.







Burp Suite , , . , , - .





Burp Repeater, Burp Intruder, .





. Burp , , . , , "+", "Auto-scroll to match when text changes".







\. Burp Repeater View->Top/bottom split







Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .







Burp Intruder , . , /, - . , , , , .



:



  • Add prefix / suffix — .
  • Match / replace — , , .
  • Encode / Decode — : URL, HTML, Base64, ASCII hex.
  • Hash — .
  • Skip if matches regex — , . , , , , .




Intruder



Burp Intruder , . Burp . , , , .





Die Verwendung dieser Option ist besonders nützlich bei der Analyse großer Mengen von Scanergebnissen und ermöglicht es Ihnen, schnell interessante Dinge zu finden. Wenn Sie beispielsweise SQL-Injektionen testen und nach Nachrichten suchen, die "ODBC", "Fehler" usw. enthalten, können Sie anfällige Parameter schnell finden.



More articles:


All Articles