Egun on guztioi!
Gaur Burp Suite beraren barneko tresnarik erabili eta indartsuenetariko bati buruz hitz egingo dugu Web auditoriak egiteko.
Burp Suite web aplikazioen segurtasuna probatzeko tresna bat da. Eskaerak atzeman, aztertu eta aldatzen ditu. Eskaera bat nola eratzen den ikusteko aukera ematen du, ahultasun arruntak hautemateaz gain, hala nola SQL injekzioak eta Cross-Site Scripting. Ohiko zereginak automatizatzeko eta lan-fluxuak pertsonalizatzeko aukera ematen duten gaitasunak eskaintzen ditu. Tresna polifazetikoa eta indartsua da.
Intruder Burp Suite-ren barne-modulu bat da, eskaerak automatizatzeko aukera ematen digu, eta hori oso erabilgarria da fuzzing edo brute force zereginak egiteko.
Eskaera bat hartzeko aukera ematen digu (normalean Proxyan harrapatuta Intruder-i pasa aurretik) eta txantiloi gisa erabiltzeko, apur bat aldatutako balioekin automatikoki askoz eskaera gehiago bidaltzeko. Esate baterako, saioa hasteko saiakera duen eskaera bat harrapatzen denean, Intruder konfigura genezake erabiltzaile-izenaren eta pasahitzaren eremuak hitz-zerrenda bateko balioekin trukatzeko, modu eraginkorrean saioa hasteko inprimakia behartzeko aukera emanez. Era berean, hitz-zerrenda bat pasa genezake fuzz azpidirektorioetara, amaierako puntuetara edo ostalari birtualei. Funtzionalitate hau Wfuzz edo Ffuf bezalako tresnek eskaintzen dutenaren oso antzekoa da.
Intrusioari ematen zaizkion erabilera ohikoenak hauek dira:
- Direktorioak edo parametroak nahastea: Bilaketa Sarreraren arabera ahultasunak identifikatzea.
- Zerrenda azpidomeinuak: Ezagutu edo handitu eraso-azalera gehigarri bat.
- Saio-hasiera bortxaketa bortitza: Automatizatu erabiltzaile-izen eta pasahitz konbinazioak.
Orain bere funtzio nagusiak ezagututa, adibide batekin ikusiko dugu nola funtzionatzen duen.
Lehenengo urratsa Burp Suite-k eskaintzen duen proxyaren bidez eskaera bat atzematea izango da Horretarako, Burp Suite-k eskaintzen duen nabigatzailea irekiko dugu eta atzematea aktibatuko dugu.
Proba egiteko Intruder-ekin erasoak praktikatzeko aukera emango digun portswigger laborategi bat erabiliko dugu. Kasu honetan saioa hasteko orrira joango gara, non saio-hasieran indar gordinaren erasoa egin dezakegun.
Proxy aktibatuta, saioa hasi klik egingo dugu erabili dugun proba-orrirako eskaera atzemateko.
Behin eskaera harrapatuta, Intruderra bidaliko dugu eta bertan egingo dugu erasoa.
Intruder-etik zer eraso mota nahi dugun aukeratu dezakegu, 4 ezberdin bereizi ahal izateko:
1. Frankotiratzailea:
Intruder-ek pasatzen dugun karga bakoitza hartuko du (karga-zerrenda batetik) eta zehaztutako posizio bakoitzean jarriko du txandaka. Hau da, zerrendako karga bakoitza parametro bakoitzean pasako du.
Adibidea: 2 parametro erabiltzaile-izena eta pasahitza dituen eskaera bat badugu eta hau izango litzatekeen hitzen zerrenda bat badugu: burp, suite eta intruder. Eskaerak honelakoak izango lirateke:
2. Ariaria:
Hartu karga multzo bat (adibidez, hitzen zerrenda bat). Kokapen bakoitzean (parametroa) karga erabilgarria jartzen den lekuan.
Adibidea: 2 parametro erabiltzaile-izena eta pasahitza dituen eskaera bat badugu eta hau izango litzatekeen hitzen zerrenda bat badugu: burp, suite eta intruder. Eskaerak honelakoak izango lirateke:
3. Sardea:
Pitchfork-ek posizio bakoitzeko karga-multzo bat erabiltzen du eta guztiak aldi berean zeharkatzen ditu. Egokiena, gure karga-multzoek luzera berdina izan behar dute Pitchfork-en lan egiten dugunean, Intruderrek probak egiteari utziko dio zerrenda bat osatu bezain laster. Adibidez, bi zerrenda baditugu, bata 100 lerrokoa eta bestea 90 lerrokoa, Intruderrek 90 eskaera baino ez ditu egingo eta lehen zerrendako azken hamar elementuak ez dira probatuko.
Adibidez: 2 parametro erabiltzaile-izena eta pasahitza dituen eskaera bat badugu eta bi hitz-zerrenda baditugu, zein izango litzateke lehen izenen zerrenda:
Eta bigarren pasahitzen zerrenda:
Eskaerak honelakoak izango lirateke:
4. Kluster Bomb:
Cluster bomb-ek karga-multzo anitz aukeratzeko aukera ematen digu: posizio bakoitzeko bat, ordea, Pitchfork-ek karga-multzo bakoitzean aldi berean errepikatzen duen bitartean, Cluster bomb-ek karga-multzo bakoitza banaka egiten du, konbinazio posible guztiak probatzen direla ziurtatuz.
Adibidez: 2 parametro erabiltzaile-izena eta pasahitza dituen eskaera bat badugu eta bi hitz-zerrenda baditugu, zein izango litzateke lehen izenen zerrenda:
Eta bigarren pasahitzen zerrenda:
Eskaerak honelakoak izango lirateke:
Eskuragarri dauden eraso motak ezagutu ondoren, adibide praktikoarekin jarraitzen dugu. Gure kasu zehatzean Sniper mota aukeratuko dugu, erabiltzaile-izena eta pasahitza bereizita jasoko baititugu. Ondoren, kargaren posizioa gehituko dugu "erabiltzaile-izena" eremuan
Behin posizioa hautatuta erasoan erabiliko dugun karga gehituko dugu. Kasu honetan izen arrunten zerrenda bat erabili dugu hiztegi gisa.
Dena prest dugula erasoa hasi ahal izango dugu, webguneari eskaerak egingo dizkiola emandako erabiltzaile-izen guztiekin.
Ikus dezakegu nola kargaren abisuekin erantzunaren tamaina aldatzen den, hau da, errore-mezua ezberdina delako, non pasahitza okerra dela esaten baitigu. Hemendik aurrera alertak izeneko erabiltzaile bat dagoela lortzen dugu.
Orain metodo bera erabiliko dugu, baina pasahitz eremuan identifikatutako erabiltzailearen pasahitza aurkitzeko
Saioa hasten saiatzen ari garen erabiltzailea aldatu ondoren, eraso bera errepikatzen dugu pasahitzarekin, zerrenda pasahitz ahulen balio tipiko batera aldatuz.
Kasu honetan erantzunaren aldaketa antzeman dezakegu birzuzenketa bat denez, eta horrek ziurrenik balioztatu egin dela adierazten digu.
Proba egiten dugu proba orrian zuzenak garen ikusteko:
Eta lortutako egiaztagiriekin sartu gaitezke, laborategia ere konponduta utziz.
Proba hau portswinger laborategi batekin egin dudan modu berean, Intruderrekin praktikatzeko erabil daitezkeen orrialde eta makina asko daude. Horietako batzuk hauek dira:
Orain arte intrusoaren sarrera honek, imajina dezakezun bezala, erabilera ugari ditu eta oso modu ezberdinetan aplika daiteke auditoretzaren beharren arabera.
Espero dugu gustatu izana eta FluProject-en hurrengo atalean ikusiko gara.