Introduzione
In questa seconda parte della serie Burp Suite ti spiegherai come utilizzare il proxy Burp Suite per raccogliere dati dalle richieste dal tuo browser. Esplorerai come funziona un proxy di intercettazione e come leggere i dati di richiesta e risposta raccolti da Burp Suite.
La terza parte della guida ti condurrà attraverso uno scenario realistico di come utilizzeresti i dati raccolti dal proxy per un test reale.
Ci sono più strumenti integrati in Burp Suite con cui puoi utilizzare i dati che raccogli, ma quelli saranno trattati nella quarta e ultima parte della serie.
Intercettazione del traffico
Il proxy di Burp Suite è quello che viene definito proxy di intercettazione. Ciò significa che tutto il traffico che arriva attraverso il proxy ha la possibilità di essere catturato e trasmesso manualmente dall'utente proxy. Ciò ti consente di ispezionare manualmente ogni richiesta e scegliere come reagire ad essa.
Questo può essere positivo in base al caso, ma può anche essere molto ovvio per un utente che qualcosa non va se lo si utilizza come parte di un vero e proprio pentest professionale.
Quindi, se stai solo cercando di catturare una grande quantità di traffico in una volta e monitorarlo mentre scorre o esaminarlo in un secondo momento, puoi disattivare la funzione di intercettazione del proxy e consentire al traffico di fluire liberamente.
Per attivare l'intercettazione, vai alla scheda "Proxy" nella riga superiore delle schede, quindi alla scheda "Intercetta" nella seconda riga. Per impostazione predefinita, il terzo pulsante dovrebbe leggere "L'intercettazione è attiva". Fare clic su di esso per attivare e disattivare l'intercettazione. Per ora, lascialo acceso.
In Firefox, accedi al tuo sito WordPress in localhost . Dovresti vedere l'icona di "caricamento" rotante sulla scheda e Firefox non va da nessuna parte. Questo perché la richiesta al tuo server web è stata catturata dal proxy di Burp.
Controlla la finestra della tua Burp Suite. Ora ci saranno i dati della richiesta nella scheda "Intercetta". Queste sono le informazioni che sono state inviate dal browser al tuo server WordPress richiedendo la pagina in cui sei stato navigato. Non vedrai alcun codice HTML o altro che verrebbe restituito dal server. Puoi ottenere i dati sulle risposte andando alla scheda "Opzioni" in "Proxy" e selezionando "Intercetta le risposte in base alle seguenti regole" e "Oppure la richiesta è stata intercettata".
In ogni caso, puoi dare un'occhiata alle nuove schede nella schermata "Intercetta". Raw, Params e Headers ti saranno più utili. Essenzialmente visualizzano tutti gli stessi dati, ma lo fanno in formati diversi. Raw mostra la richiesta raw così come è stata inviata. Params mostra tutti i parametri inviati con la richiesta. Questo è spesso il luogo in cui è possibile trovare facilmente informazioni utili come i dettagli di accesso. Le intestazioni mostreranno solo le intestazioni della richiesta. Questo è utile quando la richiesta contiene HTML.
Per inoltrare la richiesta al server, premere il pulsante “Inoltra”. Se imposti Burp per intercettare la risposta, ora vedrai che riempie lo schermo. In caso contrario, i dati scompariranno quando verranno inviati al server.
I dati di risposta sono simili, ma hanno alcune nuove sezioni, come "HTML". Questo contiene l'HTML grezzo così come è stato inviato dal server. Dovrebbe esserci anche una scheda chiamata "Render". Burp può provare a eseguire il rendering della risposta HTML, ma non includerà CSS, JavaScript o risorse statiche. Questa funzione ha solo lo scopo di darti una rapida idea della struttura della pagina restituita. Facendo nuovamente clic su "Avanti" verrà inviata la risposta a Firefox.
Traffico proxy
Disattiva l'intercettazione. Per questa parte successiva, basta monitorare il traffico mentre arriva attraverso il proxy. Sfoglia il tuo sito WordPress fittizio. Se necessario, trova dei contenuti senza senso con cui riempire il sito, in modo da poter vedere come appare un flusso di traffico più realistico attraverso Burp Suite.
Tutto il traffico che passa attraverso il proxy di Burp Suite può essere trovato nella scheda "Cronologia HTTP" sotto "Proxy". Per impostazione predefinita, le richieste sono elencate in ordine crescente. Puoi modificare questa impostazione per visualizzare in primo piano il traffico più recente facendo clic sul # nella parte superiore della colonna dell'ID richiesta all'estrema sinistra della tabella.
Assicurati di dedicare un po' di tempo a fare clic sul tuo sito WordPress e guarda Burp Suite mentre lo fai. Vedrai l'elenco della tua cronologia HTTP riempirsi rapidamente. Ciò che può sorprendere è la quantità di richieste raccolte. Il tuo browser generalmente farà più di una richiesta per clic. Queste richieste possono riguardare risorse nella pagina oppure possono venire come parte di reindirizzamenti. A seconda dei temi o dei caratteri che hai installato, potresti persino vedere richieste inviate ad altri domini. In uno scenario reale, questo sarà estremamente comune, poiché la maggior parte dei siti Web utilizza risorse ospitate in modo indipendente e reti di distribuzione dei contenuti.
Esaminare una richiesta
Scegli una richiesta a cui dare un'occhiata. È meglio se riesci a trovarne uno con un tipo di HTML MIME. Ciò significa che si trattava di una richiesta per una delle pagine del sito Web e contiene del codice HTML da esaminare.
Quando ne selezioni uno per la prima volta, ti verrà mostrata la richiesta nella sua forma grezza. La richiesta grezza conterrà tutte le informazioni inviate da Firefox al server. È proprio come la richiesta che hai intercettato. Questa volta, lo guardi dopo il fatto invece che in transito.
Puoi sicuramente utilizzare la richiesta grezza per estrarre le informazioni chiave da, se ti senti più a tuo agio con essa, ma le schede Parametri e Intestazioni si riveleranno molto più semplici da leggere nella maggior parte dei casi. Dai un'occhiata ai parametri. Questo conterrà tutte le informazioni variabili che il browser ha bisogno per passare al browser. Nel caso di molte pagine HTML di base, probabilmente conterrà solo cookie. Quando decidi di inviare un modulo, le informazioni contenute nel modulo appariranno qui.
Le intestazioni contengono informazioni sulla richiesta stessa, la sua destinazione e il tuo browser. Le intestazioni specificheranno se la richiesta era una richiesta GET o POST. Ti diranno anche quale server o sito web viene contattato. La richiesta includerà le informazioni sul browser che il server deve utilizzare e con quale lingua dovrebbe rispondere. C'è qualche sovrapposizione e vedrai alcune informazioni sui cookie anche qui. Può anche essere utile vedere quali informazioni o tipi di file il browser accetterà dal server. Questi sono elencati in "Accetta".
Guardando la risposta
Fare clic sulla scheda "Risposta". Tutto questo è molto simile alla richiesta in termini di tipo di informazioni disponibili. Proprio come la richiesta, la risposta grezza viene caricata con informazioni in un formato abbastanza disorganizzato. Puoi usarlo, ma è meglio scomporlo con le altre schede.
Invece di trovare le informazioni sul browser nelle intestazioni, troverai invece le informazioni sul server. Le intestazioni generalmente ti diranno quale tipo di risposta HTTP è stata ricevuta dal server. Troverai anche informazioni su quale tipo di server web è in esecuzione e quale lingua di back-end sta alimentando la pagina. In questo caso, è PHP.
La scheda HTML conterrà l'HTML grezzo che il server ha inviato al browser per eseguire il rendering della pagina. Potresti trovare o meno qualcosa di interessante qui, a seconda di ciò che stai cercando. Questo non è troppo diverso dalla visualizzazione dell'origine di una pagina dal tuo browser.
Pensieri conclusivi
Bene. Hai installato e configurato Burp Suite. Hai inoltrato richieste da Firefox tramite proxy e le hai intercettate. Hai anche consentito a Burp Suite di raccogliere più richieste e di valutarle per ottenere informazioni utili.
Nella prossima guida, lo utilizzerai per raccogliere informazioni per un attacco di forza bruta alla pagina di accesso di WordPress.