privacidade e cookies
Este site usa cookies. Continuando, você aceita seu uso. Consiga mais informação; Por exemplo, sobre como controlar cookies.
anúncios
Burp Suite é um excelente Ferramenta para a execução de testes de segurança em aplicativos da Web. Seu desenvolvedor é portswigger ltd, empresa no Reino Unido e o portal oficial do produto pode ser encontrado em Portswigger.net/bburp.
Burp Suite é uma ferramenta muito mais completa do que o OWASP ZAP, mas também mais complexo para usar Para o número de opções que você tem. Nesta entrada, mostrarei como a suíte Burp deve ser configurada em interception proxy ou como eles se chamam: Man-in-the-meio. Essa configuração será necessária para executá-la para executar testes de segurança com o Burp Suite, como a análise da geração de tokens de sessão.
Passo 1. Tenha uma instalação de suite Burp
para este Tutorial Eu usarei a versão gratuita que Kali Linux traz. Isso me economiza tempo de instalação, configuração e atualização. Para sua execução no Kali Linux, você só precisa abrir um terminal e digitar burgsuite (Figura 1). Se você quiser instalá-lo diretamente, você pode encontrar um excelente tutorial neste link.
Figura 1. Iniciando uma sessão de trabalho com Burgsuite de Kali Linux.
Passo 2. Iniciando o Suite Burp e revisando as configurações do proxy proxy-no-the-h2>
O início e a configuração no Brup Suite é muito Simples:
figura 2. Quando iniciarmos o Suite Burp, veremos esta primeira janela. Como estamos usando a versão gratuita, apenas clicaremos no botão seguinte.
figura 3. Neste ponto Podemos clicar em Iniciar Barp, se você não tiver nenhuma configuração previamente feita.
Figura 4. A próxima etapa é ir para a guia proxy – > opções. Ambos são indicados em vermelho. É essencial que a caixa de seleção seja ativada para o interceptor proxy funcione.
figura 5. É muito importante desativar, nesta fase de iniciar a opção de interceptação. Esta opção está localizada em proxy – > Intercept. Se você está ligado, isso significa que ele aguardará o especialista modificar alguma parte da solicitação, como realizar um parâmetro de adulteração. Se você estiver no modo fora, como estamos sugerindo para o início, ele se comportará de maneira semelhante ao OWASP Zap Proxy e só será registrado para registrar solicitações e respostas HTTP.
Etapa 3. Firefox + Configurações do navegador O plugin proxy Foxy
Agora, devemos indicar ao navegador que as solicitações HTTP e as respostas devem viajar pelo mecanismo de proxy do Suite Burp. Para isso, há duas opções:
Configuração manual sem plugin:
figura 6. O mais simples Opção Ele está configurando diretamente o proxy no navegador. A principal vantagem é que você não depende da configuração de um plugin para fazê-lo. A desvantagem é que você tem que fazer este processo manual e é bastante tendido quando você está fazendo um teste de segurança e deseja consultar qualquer informação sem passar pelo proxy. Você só tem que especificar: proxy 127.0.0.1 e porta: 8080. Em outras palavras, coloque a mesma configuração que aparece na figura 4.
Configuração com o plugin proxy Foxy:
primeiro, vamos para o link padrão do FoxyProxy e vamos instalar o plugin no firefox, há também uma versão para o Chrome.
Figura 7. Uma vez que o proxy Foxy esteja instalado, seu ícone representativo aparecerá ao lado da barra de endereços. Clique com o botão direito nisto e vá para Opções / Opções.
Figura 8. Na janela Configuração, vá para a opção Adicionar nova proxy.
figura 9. Neste ponto, só temos que executar o proxy Configurações com os mesmos dados da Figura 4. Concluiu a edição que estamos indo para a opção geral.
figura 10 Na opção geral, escrevemos um nome de identificação para o proxy que acabamos de criar e, finalmente, clicar no botão OK.
