Burp Suite est un puissant scanner de vulnérabilité développé par Portswigger utilisé pour tester la sécurité des applications Web. Burp Suite, qui est livré avec des distributions comme Kali et Parrot, dispose d'un outil appelé Intruder, qui vous permet d'effectuer des attaques spéciales automatisées contre les applications en ligne pour le piratage éthique. L'intrus est un outil flexible et configurable, ce qui signifie que vous pouvez l'utiliser pour automatiser n'importe quelle tâche qui se présente dans les applications de test.
Alors, comment ça marche réellement ?
Utilisation de la cible dans Intrus
Target, que vous pouvez voir lorsque vous accédez à l'onglet Intruder de Burp Suite, contient des informations sur le site Web ou l'application cible que vous souhaitez tester. Vous pouvez saisir les informations sur l'hôte et le numéro de port comme cible dans la section "Positions de la charge utile".
Utilisation de l'onglet Positions dans Intrus
Dans l'onglet Positions, vous pouvez voir les types d'attaques, le modèle de demande et les informations sur les paramètres à cibler. Voici les types d'attaques que vous pouvez tester à l'aide de Burp Suite.
Tireur d'élite: Cette option utilise un seul paramètre. Les paramètres non ciblés ne sont pas affectés dans ce cas.
Bélier: Cette option utilise un seul vecteur d'attaque pour tous les paramètres ciblés. Autrement dit, s'il y a trois paramètres ciblés dans le modèle de demande, il attaque les trois en utilisant les mêmes vecteurs d'attaque.
Fourche: Dans cette option, il est possible d'utiliser plus d'un vecteur d'attaque pour tous les paramètres ciblés. Si vous pensez qu'il y a trois paramètres ciblés dans le modèle de demande, la première demande serait de sélectionner et de placer le premier élément de la première liste pour le premier paramètre; le premier élément de la seconde liste pour le second paramètre; et le premier élément de la troisième liste pour le troisième paramètre. Dans la deuxième requête, les éléments à sélectionner seront le deuxième élément de chaque liste. Vous pouvez utiliser ce type d'attaque lorsque vous placez différents vecteurs sur plusieurs paramètres cibles.
Bombe à fragmentation: Vous pouvez employer plus d'un vecteur d'attaque pour tous les paramètres ciblés à l'aide de cette option. La différence entre celle-ci et l'option Pitchfork est qu'une bombe à fragmentation vous permet d'ajuster toutes les distributions de combinaisons. Il ne fait pas de choix séquentiels comme le fait Pitchfork. Essayer toutes les combinaisons possibles de paramètres cibles peut entraîner une charge de requête massive. Par conséquent, vous devez faire preuve de prudence lorsque vous utilisez cette option.
Il existe d'autres boutons utiles sur l'écran Positions. Vous pouvez supprimer n'importe quel paramètre sélectionné avec la Clair bouton à droite. Si vous souhaitez en cibler un nouveau, vous pouvez utiliser le Ajouter bouton à droite aussi. Utilisez le Auto pour sélectionner automatiquement tous les champs ou revenir à leur état d'origine.
Qu'est-ce que les onglets Payloads dans Burp Suite ?
Pensez aux listes de charge utile comme des listes de mots. Vous pouvez utiliser le Charges utiles pour configurer une ou plusieurs listes de données utiles. Le nombre d'ensembles de charge utile varie en fonction du type d'attaque.
Vous pouvez définir un ensemble de charges utiles d'une ou plusieurs manières. Si vous avez une liste de mots solide, vous pouvez importer votre liste de mots en sélectionnant le Charger bouton de la section "Options de charge utile".
Vous pouvez également préparer des ensembles de charges utiles distincts pour les paramètres ciblés. Par exemple, vous pouvez utiliser uniquement des expressions numériques pour le premier paramètre cible, tandis que vous pouvez utiliser des expressions complexes pour le deuxième paramètre cible.
Traitement de la charge utile
Vous pouvez étendre davantage les ensembles de charges utiles configurés via Traitement de la charge utile avec des règles et des encodages. Par exemple, vous pouvez préfixer toutes les charges utiles, les faire coder et décoder, ou ignorer les expressions qui transmettent certaines expressions régulières.
Codage de la charge utile
Avec Codage de la charge utile, vous pouvez spécifier quels caractères doivent être encodés en URL dans les paramètres lors de la transmission des requêtes HTTP à la destination sans aucun problème. L'encodage d'URL est une version convertie des informations susceptibles d'être confondues avec l'adresse. Burp Suite envoie l'URL pour coder les équivalents de caractères tels que l'esperluette (&), les astérisques (*), les points-virgules et les deux-points (respectivement; et :) dans les paramètres par défaut.
Qu'est-ce que l'onglet Options dans Intruder ?
Le Choix L'onglet contient des options pour les en-têtes de requête, les résultats d'attaque, les correspondances grep et les redirections. Vous pouvez les modifier dans l'interface Intruder avant de lancer une analyse.
En-têtes de demande
Vous pouvez définir les en-têtes de demande à l'aide des paramètres du champ "En-têtes de demande". La chose importante à noter ici est l'en-tête Content-Length: l'adresse de destination peut renvoyer une erreur si le contenu n'est pas correctement mis à jour.
Si les informations Set-Connection ne sont pas utilisées, la connexion peut rester ouverte, ainsi, après avoir activé l'option Set-Connection, la connexion est interrompue. Cependant, vous pouvez effectuer des transactions un peu plus rapidement.
La gestion des erreurs
Les paramètres de la section "Gestion des erreurs" contrôlent le moteur utilisé pour générer des requêtes HTTP dans les analyses Intruder. Ici, vous pouvez définir des paramètres tels que la vitesse, la gravité et la durée de l'attaque.
Résultats d'attaque
La section "Résultats d'attaque" vous permet de définir les informations qui figureront dans les résultats de l'analyse. Ces paramètres de configuration ont les options suivantes :
- Demandes/réponses de magasin: Ces deux options permettent de préciser s'il faut ou non sauvegarder le contenu des requêtes et des réponses des scans.
- Faire une demande de ligne de base non modifiée: Celui-ci contient les valeurs de base des paramètres ciblés ainsi que les requêtes d'analyse configurées, ce qui vous permet de comparer les réponses d'analyse.
- Utiliser le mode déni de service: Avec cette option, vous pouvez faire une demande d'analyse normale. Cependant, il peut s'arrêter soudainement avant qu'il n'y ait une réponse du serveur car cette fonction fatigue le serveur cible. C'est pourquoi vous devez l'utiliser avec précaution.
- Stockez les charges utiles complètes: Cela permet à Burp Suite d'enregistrer les valeurs exactes de la charge utile pour chaque résultat. Si vous choisissez cette option, Intruder occupera de l'espace supplémentaire.
Grep - Correspondance, extraction, charges utiles
Vous pouvez utiliser les paramètres des sections "Grep—Match", "Grep—Extract" et "Grep—Payloads" pour marquer les résultats qui contiennent des phrases spécifiées dans les réponses d'analyse. Burp Suite ajoutera une colonne de confirmation pour chaque élément que vous configurez, indiquant si l'élément est trouvé dans la réponse. Par exemple, dans les attaques par mot de passe, des phrases telles que "mot de passe incorrect" et "connexion réussie" peuvent s'afficher. Les fonctionnalités de la section Grep-Match incluent :
- Type de match: Cela indique si les expressions définies sont une expression régulière (expression régulière) ou une expression de texte.
- Correspondance sensible à la casse: Ceci spécifie s'il faut être sensible à la casse ou non.
- Exclure l'en-tête HTTP: Spécifier si les lignes d'en-tête sont dispensés de cette opération.
Pourquoi Burp Suite est-il si important ?
Les hackers éthiques utilisent souvent Burp Suite pour les opérations de prime de bogue. De même, les chercheurs en sécurité travaillant dans des entreprises et les testeurs d'intrusion qui souhaitent effectuer des tests de sécurité sur des applications Internet peuvent également compter sur Burp Suite. Bien sûr, il existe de nombreux autres excellents outils que vous pouvez utiliser pour les tests d'intrusion; maîtriser d'autres outils de pentesting en plus de Burp Suite vous permettra de vous démarquer.
