Clever Geek Handbook

Astuces Burp Suite

Burp Suite est une plate-forme pour effectuer des tests de sécurité d'applications Web. Dans cet article, je vais partager quelques conseils sur la façon d'utiliser cet outil plus efficacement.





Réglages



Pour fonctionner correctement avec n'importe quel outil, il est important de le personnaliser vous-même. Il existe 2 types de paramètres dans Burp Suite:



  • Options utilisateur - Paramètres liés à Burp Suite lui-même
  • Options du projet - Paramètres de ce que vous piratez


Encodages



, . UtF-8 . User Options -> Display -> Characters Sets.







Burp Suite . , " ". User Options -> Misc -> Hotkeys. :



  • \:

    • Ctrl+(Shift)+U|H|B “URL|HTML|Base64 (de)code”
  • GUI:

    • Ctrl+Shift+T|P|S|I|R — “ ”
    • Ctrl+I|R|D — " "
  • Burp Repeater:

    • Ctrl+G — " Burp Repeater"


Proxy Interception



, Burp Proxy - , ? . - , . … , . User -> Misc -> Proxy Interseption "Always Disable".







PortSwigger . "", . , — , PortSwigger. User Options -> Misc -> Performance Feedback .



Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server







, . :



  • ( JSON ).
  • .
  • (, git ).
  • :


{
    "project_options":{
        // options
    },
    "user_options":{
        // options
    }
}




Burp Suite . , .





, .





Burp Suite Java, , . :



java -jar -Xmx2048M burp.jar




Burp Suite. :



  • Burp Proxy Burp Suite, , , .
  • Burp Repeater — HTTP-, - .
  • Burp Intruder — -. , , .




, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .







Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.







Burp Suite , , . , , - .





Burp Repeater, Burp Intruder, .





. Burp , , . , , "+", "Auto-scroll to match when text changes".







\. Burp Repeater View->Top/bottom split







Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .







Burp Intruder , . , /, - . , , , , .



:



  • Add prefix / suffix — .
  • Match / replace — , , .
  • Encode / Decode — : URL, HTML, Base64, ASCII hex.
  • Hash — .
  • Skip if matches regex — , . , , , , .




Intruder



Burp Intruder , . Burp . , , , .





L'utilisation de cette option devient plus utile lors de l'analyse de gros volumes de résultats d'analyse et vous permet de trouver rapidement des éléments intéressants. Par exemple, lors du test d'injections SQL, la recherche de messages contenant "ODBC", "error", etc. vous aidera à trouver rapidement les paramètres vulnérables.



More articles:


All Articles