Configurazione della suite Burp in modalità Proxy Man-in-the-the-Thise con Firefox, Foxy Proxy e Kali Linux

x

Privacy and cookies

Questo sito utilizza i cookie. Continuando, accetti il tuo uso. Ottieni maggiori informazioni; Ad esempio, su come controllare i cookie.

capito

annunci

Burp Suite è eccellente Strumento per l’esecuzione dei test di sicurezza nelle applicazioni Web. Il suo sviluppatore è Portswigger Ltd, la società nel Regno Unito e il portale del prodotto ufficiale può essere trovato su Portswigger.net/burp.

Burp Suite è uno strumento molto più completo di OWAP ZAP ma anche più complesso da utilizzare Per il numero di opzioni che hai. In questa voce mostrerò come Burp Suite deve essere configurato nella proxy di intercettazione o come loro stessi chiamano: uomo-in-the-medio. Questa configurazione sarà necessaria per eseguirlo per eseguire test di sicurezza con Burp Suite come l’analisi della generazione di token di sessione.

Passaggio 1. Avere un’installazione della suite Burp

per questo Tutorial userò la versione gratuita che Kali Linux porta. Questo mi consente di risparmiare tempo di installazione, configurazione e aggiornamento. Per la tua esecuzione in Kali Linux devi solo aprire un terminale e digitare burgsuite (figura 1). Se vuoi installarlo direttamente, puoi trovare un tutorial eccellente su questo link.

1

figura 1. Avvio di una sessione di lavoro con burgsuite da Kali Linux.

Passaggio 2. Avvio di Burp Suite e rivedere le impostazioni dell’uomo delegabile proxy

L’avvio e la configurazione in Brup Suite è molto Semplice:

2

figura 2. Quando iniziamo Burp Suite vedremo questa prima finestra. Mentre utilizziamo la versione gratuita, faremo cliccare solo sul pulsante successivo.

3

Figura 3. A questo punto Possiamo fare clic su Start Burp, se non avete una configurazione effettuata in precedenza.

4

figura 4. Il prossimo passo è andare alla scheda Proxy – > opzioni. Entrambi sono indicati in rosso. È essenziale che la casella di controllo è attivata è attivata per l’intercettore proxy per funzionare.

5

figura 5. È molto importante Disattiva, in questa fase di avviare l’opzione di intercettazione. Questa opzione si trova in proxy – > intercetta. Se sei acceso, significa che aspetterà lo specialista modificare una parte della richiesta, come l’esecuzione di un parametro di manomissione. Se sei in modalità OFF, poiché suggeriamo all’inizio, si comporterà in modo simile a OWASP ZAP proxy e sarà registrato solo per registrare richieste e risposte HTTP.

Passaggio 3. Firefox + Impostazioni del browser Il plugin Foxy Proxy

Ora dobbiamo indicare al browser che le richieste e le risposte HTTP devono viaggiare attraverso il motore proxy suite Burp. Per questo, ci sono due opzioni:

Configurazione manuale senza plugin:

Figura 6. Il più semplice Opzione Si configura direttamente il proxy nel browser. Il vantaggio principale è che non dipende dalla configurazione di un plugin per farlo. Lo svantaggio è che devi fare questo processo manuale ed è abbastanza curato quando si esegue un test di sicurezza e si desidera consultare qualsiasi informazione senza passare attraverso il proxy. Devi solo specificare: Proxy 127.0.0.1 e Porta: 8080. In altre parole, metti la stessa configurazione che appare nella figura 4.

Configurazione con il plugin Foxy Proxy:

In primo luogo, andremo al link FoxyProxy-Standard e installeremo il plugin in Firefox, c’è anche una versione per Chrome.

7

Figura 7. Una volta installato Foxy Proxy, l’icona rappresentativa apparirà accanto alla barra degli indirizzi. Fare clic con il tasto destro su questo e vai su opzioni / opzioni.

figura 8. Nella finestra di configurazione lo faremo Vai alla nuova opzione Aggiungi proxy.

9.png

Figura 9. A questo punto dobbiamo solo eseguire il proxy Impostazioni con gli stessi dati in Figura 4. Completato l’edizione che stiamo andando all’opzione Generale.

10.png

figura 10 Nell’opzione generale, scriviamo un nome identificativo per il proxy che abbiamo appena creato e finalmente fare clic sul pulsante OK.

11.png

Figura 11. Se abbiamo fatto correttamente i passaggi correttamente, possiamo vedere come appare il proxy creato nell’elenco del plugin.

Step 4.Using Burp Suite in modalità proxy Man-in-the-the-the-tid-in-the-middle

Figura 12. Infine, possiamo vedere come le petizioni e Le risposte HTTP sono intercettate da Burp Suite tra Firefox e il server Web. In questo caso stavamo sfogliando l’applicazione Web del progetto WebGoat, il contenuto nella VM del progetto OWAP BWA.

Conclusioni

In questo post abbiamo visto come Eseguire la configurazione di base della suite Burp. Questa è la base per la realizzazione di diversi tipi di test di sicurezza con questo strumento. Nel prossimo articolo sulla suite Burp, impareremo come analizzare la casualità dei token della sessione.

Spero che questo articolo sia stato utile e contribuire a migliorare la sicurezza delle tue applicazioni web.

S4lud0s e H4st4 Il prossimo P0ST !!!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *