GNU/Linux >> Linux の 問題 >  >> Linux

KaliLinuxでBurpSuiteを学ぶ:パート1

Webアプリケーションのセキュリティをテストする場合、一連のツールを見つけるのに苦労します。 PortswiggerWebセキュリティのBurpSuiteよりも優れています。これにより、サーバーとの間の要求と応答に関する詳細情報とともに、Webトラフィックを傍受および監視できます。

Burp Suiteには機能が多すぎて、1つのガイドでカバーできないため、これは4つの部分に分けられます。この最初のパートでは、BurpSuiteのセットアップとFirefoxのプロキシとしての使用について説明します。 2つ目は、情報を収集してBurpSuiteプロキシを使用する方法について説明します。 3番目の部分では、BurpSuiteプロキシを介して収集された情報を使用した現実的なテストシナリオに入ります。 4番目のガイドでは、BurpSuiteが提供する他の多くの機能について説明します。

このガイドでは、WordPressのセルフホストインスタンスでBurpSuiteを使用する練習をします。設定についてサポートが必要な場合は、Debianガイドを確認してください。

BurpSuiteはデフォルトでKaliLinuxにインストールされるため、インストールについて心配する必要はありません。実際、これはKaliライブCDのお気に入りリストにあるアプリケーションの1つです。

それを開き、オープニングメニューをクリックします。デフォルトを使用してください。 Burp Suiteで使用できる構成にはある程度の深さがありますが、このガイドや基本的な使用法では必要ありません。

Firefoxのセットアップ

Burp Suiteには、インターセプトプロキシが含まれています。 Burp Suiteを使用するには、トラフィックをBurpSuiteプロキシを通過させるようにブラウザを設定する必要があります。これは、KaliLinuxのデフォルトブラウザであるFirefoxで行うのはそれほど難しくありません。

Firefoxを開き、メニューボタンをクリックしてFirefox設定メニューを開きます。メニューで、「設定」をクリックします。これにより、Firefoxの[設定]タブが開きます。タブの左端には、別のメニューリストがあります。最後のオプション「詳細」をクリックします。 「詳細設定」タブの上部には、新しいメニューがあります。中央の「ネットワーク」オプションをクリックします。 [ネットワーク]セクションで、[設定...]というラベルの付いた上部のボタンをクリックすると、Firefoxのプロキシ設定が開きます。

<中央>

Firefoxには、プロキシを処理するためのオプションがいくつか組み込まれています。このガイドでは、「手動プロキシ設定:」ラジオボタンを選択します。これにより、一連のオプションが開き、いくつかのプロトコルごとにプロキシのIPアドレスとポート番号を手動で入力できるようになります。デフォルトでは、BurpSuiteはポート8080で実行されます 、これを自分のマシンで実行しているので、127.0.0.1と入力します IPとして。主な懸念事項はHTTPですが、怠惰な場合は、[すべてのプロトコルにこのプロキシサーバーを使用する]チェックボックスをオンにすることができます。

他の手動構成オプションの下には、プロキシの免除を書き込むことができるボックスがあります。 Firefoxは、localhostという名前の両方を追加します 、およびIP、127.0.0.1 、このフィールドに。ブラウザとローカルでホストされているWordPressインストール間のトラフィックを監視するため、これらを削除または変更してください。

Firefoxを構成すると、Burpの構成とプロキシの開始に進むことができます。

プロキシの構成

プロキシはデフォルトで設定する必要がありますが、少し時間を取って再確認してください。今後、設定を変更したい場合は、同様の方法で変更してください。

<中央>

Burp Suiteウィンドウで、タブの一番上の行にある[プロキシ]をクリックしてから、下のレベルにある[オプション]をクリックします。画面の上部に「プロキシリスナー」と表示され、localhostのボックスが表示されます。 IPとポート8080 。その左側の横には、「実行中」列のチェックボックスがあります。それが表示された場合は、BurpSuiteを使用してトラフィックのキャプチャを開始する準備ができています。

まとめ

この時点で、FirefoxのプロキシとしてBurp Suiteを実行しており、FirefoxからローカルでホストされているWordPressインストールに送信される情報をキャプチャするためにBurpSuiteを使用する準備ができています。

次のガイドでは、その情報を収集し、それを読んで使用可能な部分に分解する方法を学びます。 Burp Suiteが収集できる情報の量は非常に驚くべきものであり、Webアプリケーションをテストするための新しい可能性の世界を開きます。


Linux

  1. Kali LinuxBurpSuiteチュートリアル

  2. Kali Linux アクセシビリティの改善

  3. Kali Linux リリースの余波

  1. Kali Linux 1.0.7 リリース

  2. Kali Linux メタパッケージ

  3. Kali Linux 1.0.6 リリース

  1. KaliLinuxの強化

  2. Kali Linux 2.0 リリース - サナ

  3. Kali Linux 1.1.0 リリース