Burp Suite利用紹介——準備作業
6636 ワード
Getting Startd
Burp Suiteは、ウェブアプリケーションを攻撃するための統合プラットフォームです。これは多くのツールを含み、これらのツールのために多くのインターフェースを設計し、攻撃アプリケーションを加速させるプロセスを促進します。すべてのツールは、HTTPメッセージ、持続性、認証、エージェント、ログ、アラームの強力な拡張可能なフレームを処理して表示することができます。この文章は主に以下の特徴を紹介します。
Burpは手動のWebアプリケーションテストの活動をサポートします。マニュアルと自動化技術を組み合わせて、BurpSuiteのすべての行動を完全にコントロールし、テストしたアプリケーションに関する詳細な情報と分析を提供することができます。Burp Suiteのテストプロセスを見てみましょう。下の図
簡単に分析する
代理ツールは、Burp Suiteのテストプロセスの心臓とも言える。これはブラウザを通じてアプリケーションを閲覧し、すべての関連情報をキャプチャし、簡単に行動を開始させ、典型的なテストにおいて、偵察と分析の段階は以下のようなものを含む。
手動マッピングアプリケーション-ブラウザを使用してBurpSuiteエージェントを介して動作し、手動マッピングアプリケーションは以下のリンクを通してフォームを提出し、マルチステップのプロセスによって強化される。このプロセスは、パディングプロキシの履歴と対象サイト地図と全ての要求の内容を、受動蜘蛛によってサイト地図に追加することにより、アプリケーションの応答から任意のさらなる内容を推測することができる(リンク、フォームなどによって)。要求されていない任意の局(サイト地図で灰色で表示されている)を要求し、これらをブラウザで要求することもできる。
必要に応じて自動マッピングを実行します。BurpSuite自動マッピングプロセスにおける様々な方法を使用してもいいです。自動蜘蛛が這うことができます。サイト地図で要求されていないサイトでお願いします。このツールを使う前に、必ずクモの爬行設定を確認してください。
コンテンツ検索機能を使って、ご覧いただくことができます。または、クモが這って見えるコンテンツリンクを使って、さらに操作します。
BurpSuite Intruderを使用して、共同ファイルとディレクトリリストを介してカスタマイズされた発見を実行し、ループし、命中を決定します。
なお、任意の自動動作を実行する前に、ターゲットの範囲やセッション処理など、BurpSuiteの構成のさまざまな態様を更新する必要があるかもしれない。
アプリケーションの攻撃面を分析します。マッピングアプリケーションの過程で、プロキシの履歴とターゲットサイト地図を記入します。すべてのBurpSuiteがアプリケーションに関する情報をキャプチャしました。この2つのライブラリに含まれる機能は、それらの情報を分析し、攻撃された面を評価するアプリケーションの公開を助けます。また、BurpSuiteのターゲットアナライザが報告する攻撃面の程度と、異なる種類のアプリケーションが使用するURLを使用することができます。
これからBurpSuiteの各機能を紹介します。まずProxy機能を紹介します。Proxyは心臓機能を持つので、すべてのアプリケーションはProxyの代理機能に基づいています。
Burp Suite機能ボタンの翻訳対照
ナビゲーションバー
Burp.
BurpSuite
save state wizard
保存状態ウィザード
レスター・state
状態を回復する
Remember setting
設定を記憶する
rester defaults
デフォルトに戻す
Intruder
侵入者
Start ateck
攻撃を開始する(爆破する)
Actively scan defined insertion points
アクティブスキャン挿入点を定義します。
Repeat
中継器
New tab behavior
新しいラベルの挙動
Automatic payload positions
自動負荷位置
config prefined payload lists
事前定義のペイロードリストの設定
Update content-length
更新内容長
unpack gzip/deflate
解消gzip/放棄
Follow redirections
リダイレクトに従う
process cookies in redirections
リダイレクト中のcookies
ビュー
表示
アクション
アクション
機能項目
Target
ターゲット
Proxy
エージェント
Spider
クモ
Scanner
スキャン
Intruder
侵入者
Repeat
中継器
Sequencer
シーケンス
Decoder
復号器
Comprer
コンパレータ
エクステンダー
拡張
Options
設定
Detach
分離
Filter
フィルタ
SiteMap
公式サイト
Scrope
範囲
Filter by request type
要求フィルタによるフィルタリング
Intercept
遮る
レスポンスModification
変更に応答
match and replace
マッチングと置換
ssl pass through
SSL通過
Miscellane ous
雑の部
spider status
スパイダー状態
crawler settings
キャタピラーの設定
passive spidring
受身蜘蛛
form submission
フォームの送信
アプリロゴ
アプリケーション登録
spider engine
スパイダーエンジン
scan queue
スキャンキュー
live scanning
フィールドスキャン
live active scanning
現場自動スキャン
live passive scanning
現場受動スキャン
ateck insertion points
攻撃の挿入点
active scanning optimization
自動スキャン最適化
active scanning aras
アクティブスキャン領域
passive scanning aras
受動スキャン領域
Payload
ペイロード
payload processing
ペイロード処理
select live capture request
現場捕捉要求を選択
token location within reponse
内部応答トークンの位置
live capture options
リアルタイムキャプチャオプション
Manual load
手動で読み込み
Analyze now
分析します
Platform authentication
プラットフォーム認証
Upstream proxy servers
上流プロキシサーバ
Gep Extrack
抽出
Burp Suiteは、ウェブアプリケーションを攻撃するための統合プラットフォームです。これは多くのツールを含み、これらのツールのために多くのインターフェースを設計し、攻撃アプリケーションを加速させるプロセスを促進します。すべてのツールは、HTTPメッセージ、持続性、認証、エージェント、ログ、アラームの強力な拡張可能なフレームを処理して表示することができます。この文章は主に以下の特徴を紹介します。
1.Target( )—— 2.Proxy( )—— HTTP/S , , , , 。3.Spider( )—— , 。4.Scanner( )—— , , web 。5.Intruder( )—— , web , : , , fuzzing 。6.Repeater( )—— HTTP , 。7.Sequencer( )—— 。8.Decoder( )—— 。9.Comparer( )—— “ ”。10.Extender( )—— Burp Suite , Burp Suit 。11.Options( )—— Burp Suite Burpは手動のWebアプリケーションテストの活動をサポートします。マニュアルと自動化技術を組み合わせて、BurpSuiteのすべての行動を完全にコントロールし、テストしたアプリケーションに関する詳細な情報と分析を提供することができます。Burp Suiteのテストプロセスを見てみましょう。下の図
簡単に分析する
代理ツールは、Burp Suiteのテストプロセスの心臓とも言える。これはブラウザを通じてアプリケーションを閲覧し、すべての関連情報をキャプチャし、簡単に行動を開始させ、典型的なテストにおいて、偵察と分析の段階は以下のようなものを含む。
手動マッピングアプリケーション-ブラウザを使用してBurpSuiteエージェントを介して動作し、手動マッピングアプリケーションは以下のリンクを通してフォームを提出し、マルチステップのプロセスによって強化される。このプロセスは、パディングプロキシの履歴と対象サイト地図と全ての要求の内容を、受動蜘蛛によってサイト地図に追加することにより、アプリケーションの応答から任意のさらなる内容を推測することができる(リンク、フォームなどによって)。要求されていない任意の局(サイト地図で灰色で表示されている)を要求し、これらをブラウザで要求することもできる。
必要に応じて自動マッピングを実行します。BurpSuite自動マッピングプロセスにおける様々な方法を使用してもいいです。自動蜘蛛が這うことができます。サイト地図で要求されていないサイトでお願いします。このツールを使う前に、必ずクモの爬行設定を確認してください。
コンテンツ検索機能を使って、ご覧いただくことができます。または、クモが這って見えるコンテンツリンクを使って、さらに操作します。
BurpSuite Intruderを使用して、共同ファイルとディレクトリリストを介してカスタマイズされた発見を実行し、ループし、命中を決定します。
なお、任意の自動動作を実行する前に、ターゲットの範囲やセッション処理など、BurpSuiteの構成のさまざまな態様を更新する必要があるかもしれない。
アプリケーションの攻撃面を分析します。マッピングアプリケーションの過程で、プロキシの履歴とターゲットサイト地図を記入します。すべてのBurpSuiteがアプリケーションに関する情報をキャプチャしました。この2つのライブラリに含まれる機能は、それらの情報を分析し、攻撃された面を評価するアプリケーションの公開を助けます。また、BurpSuiteのターゲットアナライザが報告する攻撃面の程度と、異なる種類のアプリケーションが使用するURLを使用することができます。
これからBurpSuiteの各機能を紹介します。まずProxy機能を紹介します。Proxyは心臓機能を持つので、すべてのアプリケーションはProxyの代理機能に基づいています。
Burp Suite機能ボタンの翻訳対照
ナビゲーションバー
Burp.
BurpSuite
save state wizard
保存状態ウィザード
レスター・state
状態を回復する
Remember setting
設定を記憶する
rester defaults
デフォルトに戻す
Intruder
侵入者
Start ateck
攻撃を開始する(爆破する)
Actively scan defined insertion points
アクティブスキャン挿入点を定義します。
Repeat
中継器
New tab behavior
新しいラベルの挙動
Automatic payload positions
自動負荷位置
config prefined payload lists
事前定義のペイロードリストの設定
Update content-length
更新内容長
unpack gzip/deflate
解消gzip/放棄
Follow redirections
リダイレクトに従う
process cookies in redirections
リダイレクト中のcookies
ビュー
表示
アクション
アクション
機能項目
Target
ターゲット
Proxy
エージェント
Spider
クモ
Scanner
スキャン
Intruder
侵入者
Repeat
中継器
Sequencer
シーケンス
Decoder
復号器
Comprer
コンパレータ
エクステンダー
拡張
Options
設定
Detach
分離
Filter
フィルタ
SiteMap
公式サイト
Scrope
範囲
Filter by request type
要求フィルタによるフィルタリング
Intercept
遮る
レスポンスModification
変更に応答
match and replace
マッチングと置換
ssl pass through
SSL通過
Miscellane ous
雑の部
spider status
スパイダー状態
crawler settings
キャタピラーの設定
passive spidring
受身蜘蛛
form submission
フォームの送信
アプリロゴ
アプリケーション登録
spider engine
スパイダーエンジン
scan queue
スキャンキュー
live scanning
フィールドスキャン
live active scanning
現場自動スキャン
live passive scanning
現場受動スキャン
ateck insertion points
攻撃の挿入点
active scanning optimization
自動スキャン最適化
active scanning aras
アクティブスキャン領域
passive scanning aras
受動スキャン領域
Payload
ペイロード
payload processing
ペイロード処理
select live capture request
現場捕捉要求を選択
token location within reponse
内部応答トークンの位置
live capture options
リアルタイムキャプチャオプション
Manual load
手動で読み込み
Analyze now
分析します
Platform authentication
プラットフォーム認証
Upstream proxy servers
上流プロキシサーバ
Gep Extrack
抽出