Згідно з останніми дослідженнями, глобальний ринок кібербезпеки і тестування на проникнення зростає. Про що іде мова? З назви зрозуміло, що кібербезпека і тестування на проникнення використовуються для перевірки кібербезпеки організації. Наприклад, тестування на проникнення призначене для виявлення недоліків на прикладному рівні, недоліків на рівні мережі та системи, а також можливостей подолання фізичних бар’єрів забезпечення безпеки.
Особливо під час регіональних конфліктів. З точки зору підтримки національної безпеки, кіберпростір стає новим полем бою у світі, а геополітична природа кіберпростору стає все більш очевидною.
Наприклад, початок російсько-української війни призвів до збільшення кількості кібератак. У середині березня 2022 року було виявлено, що комп’ютери, які використовують російські інтернет-адреси, сканували мережі енергетичних компанії світу, можливо, готуючи масштабну кібератаку. А уже у травні 2022 року російська хакерська група Killnet оголосила “кібервійну” урядам десяти країн, у тому числі США.
Одним з найбільш відомих інструментів тестування на проникнення є Burp або Burp Suite — набір інструментів, які використовуються для тестування на проникнення веб-додатків. Він розроблений компанією під назвою Portswigger, що також є псевдонімом її засновника Дафіда Стуттарда.
Burp Suite має на меті бути набором інструментів «все в одному», і його можливості можна розширити, встановивши додаткові компоненти, які називаються BApps.
Це найпопулярніший інструмент серед професійних дослідників безпеки веб-додатків і мисливців за винагородами за багами у програмному забезпеченні. Його простота використання робить його більш підходящим вибором порівняно з безкоштовними альтернативами, такими як OWASP ZAP.
Burp Suite доступний як безкоштовне видання для спільноти, професійне видання і корпоративне видання.
Тож давайте подивимось які можливості пропонує Burp Suite.
Інструменти, які пропонує Burp Suite:
1. Spider (Мережевий Павук):
Це веб-павук/сканер, який використовується для відображення цільової веб-програми. Метою відображення є отримання списку кінцевих точок, щоб можна було спостерігати за їхньою функціональністю та знаходити потенційні вразливості. Спайдерінг виконується з тієї простої причини: чим більше кінцевих точок ви збираєте під час процесу розвідки, тим більше поверхонь для атаки ви маєте під час фактичного тестування.
2. Proxy (Проксі):
Burp Suite містить проксі-перехоплювач, який дозволяє користувачеві переглядати та змінювати вміст запитів і відповідей під час їх передачі. Це також дозволяє користувачеві надсилати запит/відповідь під моніторинг до іншого відповідного інструменту в Burp Suite, усуваючи тягар копіювання та вставлення. Проксі-сервер можна налаштувати для роботи на певному IP-адресі та порту зворотного зв’язку. Проксі також можна налаштувати для фільтрації певних типів пар запит-відповідь.
3. Intruder (Порушник):
Використовується для запуску атакуючого набору через точку введення. Значення запускаються, а результат перевіряється на успішність/невдачу проникнення. Зазвичай аномалія призводить до зміни коду відповіді або довжини вмісту відповіді. Burp Suite дозволяє використовувати грубу силу, файл словника та окремі значення для позиції корисного навантаження. Порушник використовується для:
- Атаки грубою силою на форми паролів, форми PIN-кодів та інші подібні форми.
- Словникова атака на форми паролів, поля, які підозрюються в уразливості до XSS або SQL-ін’єкції.
- Тестування та обмеження швидкості атак у веб-додатку.
4. Repeater (Повторювач):
Повторювач дозволяє користувачеві багаторазово надсилати запити з ручними змінами. Він використовується для:
- Перевірка того, чи перевіряються надані користувачем значення.
- Якщо значення, надані користувачем, перевіряються, наскільки добре це робиться?
- Які значення очікує сервер у вхідному параметрі/заголовку запиту?
- Як сервер обробляє неочікувані значення?
- Чи застосовує сервер очищення вхідних даних?
- Наскільки добре сервер дезінфікує введені користувачем дані?
- Який стиль санітарії використовується сервером?
- Серед усіх наявних файлів cookie, який з них є фактичним файлом cookie сеансу.
- Як реалізується захист CSRF і чи є спосіб його обійти?
5. Sequencer (Секвенсор):
Секвенсор — це засіб перевірки ентропії, який перевіряє випадковість токенів, згенерованих веб-сервером. Ці маркери зазвичай використовуються для автентифікації в конфіденційних операціях: прикладами таких маркерів є файли cookie та анти-CSRF-токени. В ідеалі ці токени мають бути згенеровані повністю випадковим чином, щоб імовірність появи кожного можливого символу на позиції розподілялася рівномірно. Це має бути досягнуто як побітово, так і посимвольно. Ентропійний аналізатор перевіряє цю гіпотезу на вірність.
Це працює так: спочатку передбачається, що токени є випадковими. Потім токени тестуються за певними параметрами для певних характеристик. Рівень їх значущості визначається як мінімальне значення ймовірності того, що токен демонструватиме зазначену характеристику. Таким чином, якщо маркер має ймовірність характеристики нижче рівня значущості, гіпотезу про те, що маркер є випадковим, буде відхилено. Цей інструмент можна використовувати для виявлення слабких токенів і зміни їх конструкції.
6. Decoder (Декодер):
Декодер містить перелік поширених методів кодування, таких як URL-адреса, HTML, Base64, Hex тощо. Цей інструмент стане в нагоді під час пошуку фрагментів даних у значеннях параметрів або заголовків. Він також використовується для створення корисного навантаження для різних класів уразливості. Він використовується для виявлення первинних випадків IDOR і викрадення сесії.
7. Extender (Розширення):
Burp Suite підтримує зовнішні компоненти для інтеграції в набір інструментів для розширення його можливостей. Ці зовнішні компоненти називаються BApps. Вони працюють так само, як розширення браузера. Їх можна переглядати, змінювати, інсталювати та видаляти у вікні Extender. Деякі з них підтримуються у версії спільноти, але для деяких потрібна платна професійна версія.
8. Scanner (Сканер):
Сканер недоступний у версії Community. Він автоматично сканує веб-сайт на наявність багатьох поширених уразливостей і перераховує їх із інформацією про достовірність кожного виявлення та складність їх використання. Він регулярно оновлюється, щоб включити нові та менш відомі вразливості.
Як бачимо,Burp Suite є потужним і всебічним інструментом, який може бути використаний для тестування на проникнення веб-додатків та інфраструктури. Він є хорошим вибором для тестувальників всіх рівнів досвіду.
Ось тільки деякі конкретні приклади того, як Portswigger Burp Suite можна використовувати для тестування на проникнення:
- Виявлення вразливостей: Burp Suite можна використовувати для виявлення вразливостей у веб-додатках, таких як SQL Injection, XSS та CSRF.
- Аналіз вразливостей: Burp Suite можна використовувати для аналізу вразливостей, щоб визначити, чи можна їх експлуатувати.
- Експлуатація вразливостей: Burp Suite можна використовувати для експлуатації вразливостей, щоб отримати доступ до захищених систем.
Сумуючи сказане, Portswigger Burp Suite є цінним інструментом для будь-якого тестувальника на проникнення. Він пропонує широкий спектр функцій, які роблять його потужним і ефективним інструментом для виявлення та експлуатації вразливостей. В Україні постачальником Portswigger Burp Suite є компанія Ідеалсофт.