Quando si tratta di testare la sicurezza delle applicazioni web, è difficile trovare una serie di strumenti meglio di Burp Suite di Portswigger web security. Ti consente di intercettare e monitorare il traffico web insieme a informazioni dettagliate sulle richieste e le risposte da e verso un server.
Ci sono troppe funzionalità in Burp Suite da coprire in una sola guida, quindi questa sarà suddivisa in quattro parti. Questa prima parte riguarderà la configurazione di Burp Suite e il suo utilizzo come proxy per Firefox. Il secondo tratterà come raccogliere informazioni e utilizzare il proxy Burp Suite. La terza parte entra in uno scenario di test realistico utilizzando le informazioni raccolte tramite il proxy Burp Suite. La quarta guida tratterà molte delle altre funzionalità che Burp Suite ha da offrire.
In questa guida ti eserciterai a usare Burp Suite su un'istanza self-hosted di WordPress. Se hai bisogno di aiuto per configurarlo, dai un'occhiata alla tua guida Debian.
Burp Suite viene installato per impostazione predefinita su Kali Linux, quindi non devi preoccuparti di installarlo. In effetti, è una delle applicazioni nell'elenco dei preferiti su un CD live Kali.
Aprilo e fai clic sui menu di apertura. Basta usare le impostazioni predefinite. C'è una certa profondità di configurazione in cui Burp Suite può entrare, ma non è necessario per questa guida o per l'utilizzo di base.
Configurazione di Firefox
Burp Suite contiene un proxy di intercettazione. Per utilizzare Burp Suite, è necessario configurare un browser per far passare il proprio traffico attraverso il proxy Burp Suite. Questo non è troppo difficile da fare con Firefox, che è il browser predefinito su Kali Linux.
Apri Firefox e fai clic sul pulsante del menu per aprire il menu delle impostazioni di Firefox. Nel menu, fai clic su "Preferenze". Questo aprirà la scheda "Preferenze" in Firefox. All'estrema sinistra della scheda c'è un altro elenco di menu. Fare clic sull'ultima opzione, "Avanzate". Nella parte superiore della scheda "Avanzate" c'è un nuovo menu. Fai clic sull'opzione "Rete" al centro. Nella sezione "Rete", fai clic sul pulsante in alto con l'etichetta "Impostazioni ..." Si apriranno le impostazioni del proxy di Firefox.
Ci sono una serie di opzioni integrate in Firefox per la gestione dei proxy. Per questa guida, seleziona il pulsante di opzione "Configurazione proxy manuale:". Questo aprirà una serie di opzioni che ti permetteranno di inserire manualmente l'indirizzo IP e il numero di porta del tuo proxy per ciascuno di un certo numero di protocolli. Per impostazione predefinita, Burp Suite funziona sulla porta 8080 e poiché lo stai eseguendo sul tuo computer, inserisci 127.0.0.1 come IP. La tua preoccupazione principale sarà HTTP, ma puoi selezionare la casella contrassegnata "Usa questo server proxy per tutti i protocolli", se ti senti pigro.
Sotto le altre opzioni di configurazione manuale è presente una casella che consente di scrivere in esenzioni per il proxy. Firefox aggiunge sia il nome, localhost , nonché l'IP, 127.0.0.1 , a questo campo. Eliminali o modificali, poiché monitorerai il traffico tra il tuo browser e un'installazione di WordPress ospitata localmente.
Con Firefox configurato, puoi procedere alla configurazione di Burp e avviare il proxy.
Configurazione del proxy
Il proxy dovrebbe essere configurato per impostazione predefinita, ma basta un secondo per ricontrollarlo. Se desideri modificare le impostazioni in futuro, lo farai seguendo lo stesso metodo.
Nella finestra della tua Burp Suite, fai clic su "Proxy" nella riga superiore delle schede, quindi su "Opzioni" nel livello inferiore. La sezione superiore dello schermo dovrebbe dire "Ascoltatori proxy" e avere una casella con il localhost IP e porta 8080 . Accanto ad esso a sinistra dovrebbe esserci una casella di controllo nella colonna "In esecuzione". Se è quello che vedi, sei pronto per iniziare a catturare il traffico con Burp Suite.
Pensieri conclusivi
A questo punto hai la suite Burp in esecuzione come proxy per Firefox e sei pronto per iniziare a usarla per acquisire informazioni provenienti da Firefox alla tua installazione di WordPress ospitata localmente.
Nella prossima guida, acquisirai queste informazioni e imparerai come leggerle e suddividerle in parti utilizzabili. La quantità di informazioni che Burp Suite può raccogliere è davvero sorprendente e apre un mondo di nuove possibilità per testare le tue applicazioni web.