شروع کار با Burp Suite

[MR.F@RDIN 5]

در این قسمت از اموزش کار با Burp Suite به معرفی این نرم افزار می پردازیم .

Burp Suite یک چهار چوب  کاربردی برای بررسی امنیت برنامه های تحت وب  است که شامل ابزارهای متعددی است که به صورت یکپارچه امکان بررسی مولفه های یک برنامه  مدرن تحت وب را به شما می دهد.

این برنامه به وسیله شرکت PortSwigger طراحی شده است  و در 2 نسخه رایگان و حرفه ای انتشار داده شده است.

گرچه نسخه حرفه ای آن شامل اسکنر خودکار و چندین ویژگی دیگر می باشد اما  نسخه رایگان آن نیز کامل بوده و شامل همه ابزار های پایه ای مورد نیاز برای پیدا کردن آسیب پذیری ها می باشد . در صورتیکه می خواهید در مورد نسخه های مختلف آن اطلاعاتی کسب کنید به لینک http://www.portswigger.net مراجعه نمایید.

Burp Suite ذاتا یک پراکسی وب محلی است که با استفاده از آن می توان در خواست ها و پاسخ های  HTTP/S را بین مرورگر کاربر و سایت هدف تجزیه و تحلیل کنیم و در صورت لزوم ویرایش کنیم .زمانیکه  کاربر در یک برنامه تحت وب حرکت می کند این ابزار  جزئیات همه صفحات ،اسکریپت ها ، پارامتر ها و دیگر مولفه ها بدست می آورد. ترافیک بین مرورگر و سرور  به صورت تصویری  است و می توان آن را تحلیل ، تغییر و چندین مرتبه تکرار کرد. ابزار های موجود در Burp Suite به راحتی از طریق تب های بالایی قابل دسترس هستند که شامل موارد زیر است :

• Target : با این  ابزار شما می توانید تمام منابع برنامه کاربردی تحت وب را جهت تست های امنیتی جمع آوری کنید.
• Proxy: ابزار اصلی برنامه است که با استفاده از آن می توان همه ترافیک های وب را بررسی و ویرایش کرد .
• Spider: یک خزنده خودکار است که می تواند برای پیدا کردن صفحات و پارامتر های جدید به کار رود.
• Scanner : یک اسکنر امنیتی  جامع  برنامه های تحت وب است که تنها در نسخه حرفه ای آن وجود دارد.
•  Intruder : با Burp Intruder می توانید در خواست های وب را خودکار و سفارشی کنید. با تکرار چندین بار یک در خواست با محتوای متفاوت می توان عملیات fuzzing انجام داد.فازینگ برنامه های تحت وب شامل ارسال ورودی های غیر منتظره به برنامه می باشد.این فرآیند می تواند به پیدا کردن ضعف های امنیتی کمک کند.
• Repeater : یک ابزار ساده اما قدرتمند که می تواند برای ویرایش و ارسال دوباره درخواست های وب به کار رود.
• Sequencer : یک ابزار کامل برای بررسی توکن ها ، کوکی های و…
• Decoder : این امکان را می دهد با چندین روش رمز نگاری ، داده ها را رمز نگاری  یا رمز گشایی کنید.
• Comparer : یک ابزار ویژوال است که برای پیدا کردن تغییرات در صفحات وب به کار می رود.

صفحه اصلی Burp Suite

 

[MR.F@RDIN 5]

در این پست به آموزش نصب Burp Suite خواهیم پرداخت شما می توانید طی چند مرحله به راحتی Burp Suite را نصب کنید :

مرحله اول – پیش نیازها:

• فضای دیسک : حداقل 100 مگا بایت  فضای دیسک برای ذخیره فایل های موقتی و پیکربندی ها و …
•  حافظه : حداقل 2 گیگابایت . این میزان حافظه معموملا کافی است ولی درصورتیکه برنامه کاربردی بزرگی را تست می کنید ممکن است نیاز به حافظه بیشتری پیدا کنید.
• سیستم عامل :   Burp Suite برروی ویندوز ، لینوکس و مک قابلیت اجرا دارد .
• پیش نیاز های نرم افزاری :  برای اجرا Burp Suite نیاز به نصب آخرین نسخه Java Runtime Environment می باشد.همچنین آخرین نسخه یک مرورگر(Firefox, Internet Explorer, Chrome)  پیشنهاد من استفاده از فایر فاکس است.

 

مرحله دوم آموزش نصب Burp Suite – دانلود Burp Suite 

فایل فشرده Burp Suite را می توانید از لینک   http://www.portswigger.net/burp/download.html دانلود کنید.من پیشنهاد می کنم شما ابتدا نسخه رایگان آن را دانلود کنید و پس از آشنایی با توانایی های این نرم افزار اقدام به خرید نسخه حرفه ای آن کنید.بعد از این که فایل را دانلود و آن را از حال فشرده خارج کردید یک پوشه که شامل یک فایل جاوا است خواهید داشت.

مرحله سوم آموزش نصب Burp Suite – اجرا Burp Suite

در هنگام نوشتن این مقاله نسخه موجود burpsuite_v1.4.01.jar که فایل اجرایی جاوا است که به روش زیر قابل اجرا می باشد:

1. از منوی start  بر روی Run کلیک کنید و سپس cmd را وارد کرده و enter را بفشارید.
2. سپس به پوشه دانلود برنامه رفته و با استفاده از فرمان زیر آن را اجرا کنید.

java -Xmx2g  -jar burpsuite_v1.4.01.jar

در فرمان بالا از دستور Xmx2g- جهت افزایش حافظه به میزان 2 گیگا بایت برای تخصیص به جاوا استفاده شده است.

توجه داشته باشید که شما به راحتی می توانید با دابل کلیک کردن برروی فایل برنامه آن را اجرا کنید  اما دیگر امکان سفارشی کردن حافظه مورد نیاز برنامه میسر نخواهد بود.

مرحله چهارم آموزش نصب Burp Suite – بررسی تنظیمات پراکسی Burp

پراکسی Burp به مانند  واسطی برای ارسال  درخواست مرورگر به سایت هدف عمل می کند در صورتیکه مرور گر شما به این برنامه متصل نباشد شما نمی توانید سایت ها را تحلیل نمایید در نتیجه شما نیاز دارید که تنظمیات لازم را برای اتصال مرور گرتان انجام دهید.

نحوه تعامل پراکسی Burp با مرورگر و سایت هدف

به صورت پیش فرض پراکسی Burp برای شنود  برروی درگاه  TCP  به شماره 8080 تنظیم شده است. برای بررسی اینکه برنامه دیگری برروی کامپیوتر با آن تداخل ندارد ( برای مثال  از همین درگاه TCP استفاده کند)  شما می توانید proxy listener از مسیر تب Proxy | Options بررسی کنید. در صورتیکه تیک چک باکس running علامت خورده باشد   Burp Proxy آماده دریافت درخواست ها از مرورگر می باشد. همچنین شما می توانید برخی از خطا های برنامه  را از طریق تب  alerts مشاهده کنید. در برخی از موارد نیاز به تغییر پورت و ریست کردن listener با تیک زدن چک باکس running می باشد.

تنظیمات پراکسی Burp

برای تغییر تنظیمات پراکسی یک آیتم را از لیست انتخاب کرده و برروی دکمه edit کلیک کنید. به عنوان مثال شما می توانید شماره پورت جدید را در local listener port وارد کنید. بعد از اعمال تغییرات برای شروع دوباره شنود تیک running را بزنید.

در صورتیکه loopback only انتخاب شده باشد  تنها از طریق لوکال هاست می توان با پراکسی Burp ارتباط برقرار کرد در غیر اینصورت این امکان وجود دارد که با عدم انتخاب این گزینه از ماشین های راه دور هم بتوانید به این برنامه متصل شوید.

مرحله پنجم – تنظیمات مرورگر

در این مرحله آموزش نصب Burp Suite به تنظمیات مرورگر جهت ارسال همه درخواست ها به پراکسی Burp به جای ارسال به سایت هدف خواهیم پرداخت. پیشنهاد می کنم از مرور فایرفاکس استفاده کنید تنظیمات لازم برای فایرفاکس :

Mozilla Firefox :

1. به منوی فایرفاکس رفته و برروی Preferences کلیک کنید.
2. به قسمت Advanced و سپس تب Network رفته و در قسمت connection برروی Settings کلیک کنید.
3. گزینه Manual proxy configuration انتخاب کنید.
4. آدرس آی پی هاست را وارد کنید(به عنوان مثال : 127.0.0.1) و همچنین شماره پورت ( به عنوان مثال 8080) از تنظیماتی که در مرحله 4 انجام دادید استفاده کنید .
5. گزینه Select Use this proxy server for all protocols انتخاب کنید.
6. تمام مقادیر درون فیلد No Proxy for را پاک کنید.
7. برروی دکمه OK کلیک کنید.

 تنظیمات پراکسی فایرفاکس

بسته به نوع مرورگری که استفاده می کنید  همه افزونه هایی که ممکن است با Burp Suite تداخل داشته باشند را غیر فعال کنید .در این مرحله در صورتیکه همه تنظیمات را به درستی انجام داده باشید همه درخواست ها باید به وسیله Burp Proxy متوقف شود.

به مرورگر خود رفته و آدرس http://www.acdev.ir/ را وارد کرده و کلیدEnter را بفشارید . اگر تنظیمات به درستی انجام شده باشد Burp Proxy باید جلوی درخواست شما را بگیرد.در Burp Suite به مسیر Proxy | Intercept رفته و بررسی کنید که درخواست وب منتظر تایید شماست.دکمه intercept on باید به صورت پررنگ در آمده باشد برروی آن کلیک کنید و اجازه دهید درخواست از طریق برنامه Burp عبور کند.به مرورگر بازگردید باید صفحه وب به صورت معمول نمایش داده شود. همچنین در تب Target | Site Map می توانید یک نمای درختی از منابع جمع آوری شده را مشاهده کنید.

در صورتیکه مرورگر به روش دیگری عمل می کند و درست عمل نمی کند مراحل قبل را تکرار کنید تا مطمئن شوید که  Burp Proxy به درستی برای شنود تنظیم شده است  و  تنظمیات مرورگر به گونه ای است درخواست ها به برنامه ارسال شود. با فرض این که همه چیز با موفقیت انجام شده باشد اکنون شما می تونید به امتحان برنامه تحت وب بپردازید.

[MR.F@RDIN 5]

 

 

Burp Proxy یکی از قسمت های مهم Burp Suite می باشد. این ابزار این امکان را به شما می دهد که ترافیک وب بین مرورگر کلاینت و سایت مورد نظر را متوقف کرده و بررسی نمایید. در این قسمت از آموزش نرم افزار Burp Suite به این ابزار خواهیم پرداخت.

در قسمت بالای Burp Proxy سه تب به شرح زیر وجود دارد:

• intercept : در این پنجره در خواست ها و پاسخ های HTTP  که در حال  انتقال است را می توان متوقف و ویرایش کرد.
• options : تنظیمات پراکسی را از این قسمت می توان انجام داد.
• history : همه ترافیک های متوقف شده را می توان سریعا از این پنجره تحلیل کرد.

مرحله 1 – متوقف ساختن درخواست های وب

بعد از انجام تنظیمات برنامه و مرورگر می خواهیم مراحل متوقف ساختن یک درخواست HTTP را شرح دهیم :

• در تب intercept با بررسی دکمه intercept  مطمئن شوید که پراکسی Burp همه درخواست های عبوری را متوقف می کند.این دکمه باید به صورت intercept is on باشد.
• در مرورگر آدرس http://www.acdev.ir/ را وارد کرده و دکمه Enter را بفشارید.
  به Burp Proxy برگردید شما باید درخواست ایجاد شده به وسیله مرور گر را ببینید.در این مرحله درخواست به وسیله Burp Proxy موقتا متوقف شده است و منتظر است تا کاربر آن را یا ارسال کند و یا متوقف کند.
  به عنوان نمونه دکمه forward را زده و به مرورگر بازگردید.شما باید صفحه اصلی سایت آکادمی برنامه نویسان را ببینید.
• دوباره آدرس http://www.acdev.ir/ را وارد کرده و دکمه Enter  را بفشارید.
• این بار  دکمه drop  را بفشارید.
• به مرورگر برگردید ، صفحه پیام هشدار Burp proxy error: message was dropped by user نمایش داده می شود .به دلیل اینکه ما درخواست را متوقف  کردیم ،  Burp Proxy آن را به سرور ارسال نکرد در نتیجه مرورگر یک صفحه HTML  موقت که شامل یک هشدار تولید شده از طرف برنامه بود به جای صفحه HTML  اصلی دریافت کرد.
• یک بار دیگر  آدرس http://www.acdev.ir/ را وارد کرده و دکمه Enter  را بفشارید.
  برروی دکمه action کلیک کنید. کلیک برروی آن یک منو را نمایش می دهد که از طریق آن می توانید درخواست وب را به سایر ابزار های برنامه ارجاع دهید.

این گونه تصور کنید که شما مجموعه ای از ابزارهای یکپارچه دارید که این امکان را به شما می دهد که درخواست های وب را به راحتی دستکاری و تحلیل کنید. به عنوان نمونه اگر بخواهیم یک درخواست را رمز گشایی کنیم به راحتی دکمه send to decoder را می زنیم.

با تغییر وضعیت  دکمه  intercept می توانیم تصمیم بگیریم که همه درخواست ها بدون اینکه منتظر فرمان کاربر باشد به صورت خودکار ارسال شود .  این دکمه دارای دو وضعیت  intercept is on و intercept is off است. با این وجود پراکسی همه درخواست های عبوری را ضبط خواهد کرد.

همچنین Burp Proxy این امکان را را به شما می دهد درخواست ها را بر اساس ویژگی های خاص متوقف کنید. که این تنظیمات در بخش  intercept server response در تب options  قرار دارد.

مرحله 2 – بررسی درخواست های وب

بعد از اینکه یک درخواست متوقف گردید با استفاده از چهار تب موجود می توان محتوا ، عنوان و پارامتر های آن را تجزیه و تحلیل کرد:

• raw : در این نما شما می توانید درخواست وب را در یک قالب اولیه و کد های  ساده در یک ویرایشگر متن ببینید. اطلاعاتی  که از این قسمت بدست می آورید  انعطاف پذیری زیادی برای تغییر محتوا در آینده به شما می دهد .
• params : تمرکز این قسمت برروی پارامترهای به کار رفته (GET،POST و کوکی ها) کاربر است. این قسمت زمانی مفید است که درخواست ها پیچیده بوده و شما نیاز به تمرکز برروی نقاط آسیب پذیر دارید.در این قسمت همچنین عملیات رمز گشایی URL  به طور خودکار انجام می گیرد. به علاوه Burp Proxy سعی می کند فرمت هایی مانند JSON را نیز تجزیه کند.
•  headers : در این قسمت هدر صفحه HTTP و مقادیر آن نمایش داده می شود.
• hex : در این قسمت محتوا به صورت hexadecimal نمایش داده می شود.

با استفاده از تب history شما می توانید همه درخواست هایی که قبلا از پراکسی عبور کرده اند را تجزیه و تحلیل کنید :

1. بروی تب history کلیک کنید ، در بالای تب Burp پراکسی همه درخواست ها را به صورت جدول نمایش می دهد در پایین آن بسته به انتخاب شما محتوای در خواست و پاسخ نمایش داده می شود. در صورتیکه قبلا یک درخواست را تغییر داده باشید نسخه ویرایش شده را نیز نمایش می دهد.
   

    

   نمایش درخواست ها و پاسخ های متوقف شده HTTP به وسیله Burp Proxy

2. با دابل کلیک کردن برروی هر درخواست پنجره جدیدی باز می شود که در آن امکان بازدید از همه درخواست ها ضبط شده قبلی با استفاده از دکمه های previous  و  next  وجود دارد.
3. به تب history برگردید Burp Proxy جزئیات شامل متد درخواست ، URLو طول آن را نمایش می دهد همچنین هر درخواست به وسیله یک عدد مشخص  شده است .
4. برروی عدد مربوط به  در خواست کلیک کنید . Burp Proxy این امکان را می دهد یک رنگ برای هر درخواست انتخاب کنید این زمانی مفید خواهد بودکه می خواهید درخواست ها و پاسخ های مهم را های لایت کنید.
5.  در قمست بالای history برروی filter کلیک کنید. در این قسمت شما می توانید درخواست ها و پاسخ ها را براساس پارامتر یا  کدی خاص فیلتر کنید.

مرحله 3- دستکاری درخواست های وب

به عنوان بخشی از یک ارزیابی امنیتی ، شما نیاز دارید که درخواست های HTTP را ویرایش کرده و پاسخ های برنامه وب را تحلیل کنید. به عنوان مثال برای شناسایی آسیب پذیری  SQL injection نکته مهم این است که پارامتر های ویژه ( مثالا تک کوتیشن) را در ورودی های کاربر شامل هدر صفحه ، کوکی ها و متد های    GET/POST به کار ببرید.

 دستکاری یک درخواست وب به راحتی امکان پذیر است :

1. یک درخواست که شامل حداقل یک پارامتر HTTP را متوقف کنید. به عنوان مثال  این آدرس را در مروگر وارد کنید : https://acdev.ir/product/AspCsharp/18
2. به Burp Proxy | Intercept بروید . در این لحظه شما باید درخواست HTTP مربوط به آن را زیر را ببینید.
3. در پنجره raw به راحتی می توانید قسمت های مختلف درخواست در حال عبور را ویرایش کنید . به عنوان مثال شما می توانید مقدار پارامتر GET  را  از عدد 18 به 9 تغییر دهید . بعد از ویرایش درخواست به شکل زیر خواهد بود :

   GET /Course/AspCsharp/9 HTTP/1.1
   Host: acdev.ir
   User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0
   Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
   Accept-Language: en-US,en;q=0.5
   Accept-Encoding: gzip, deflate
   Cookie: _ga=GA1.2.1167935794.1426478368; _gat=1
   Connection: keep-alive

    

4. برروی forward  کلیک کرده و به مرور گر برگردید. نتیجه دوره آموزشی درخواستی از سایت تغییر کرده است .

اگر چه ما می توانیم با استفاده از پنجره raw  همه درخواست های قبلی را را ویرایش کنیم اما با به کار گیری پنجره های دیگر نیز می توانیم این کار را انجام دهیم به عنوان مثال در پنجره params این امکان وجود دارد که پارامتر جدیدی اضافه کنید :

1. برروی دکمه Add در سمت راست پنجره params کلیک کنید.
2. نوع پارامتر را اتخاب کنید ( URL، body یا cookie) . به این نکته توجه کنید کهURL  در حالت GET  و body  درحالت Post  به کار می رود.
3. نام و مقدار پارامتر جدید را وارد کنید.

آموزش نرم افزار Burp Suite

ویژگی های پیشرفته

بعد از انجام تمرینات برروی ویژگی های پایه ای   پراکسی Burp  تقریبا آمادگی لازم برای آشنایی با  تنظیمات پیشرفته آن را بدست آورده اید.

مطابقت و جایگزینی

 موقعیتی را تصور کنید که شما یک برنامه طرا حی شده برای موبایل را با استفاده از یک مرورگر استاندارد از روی کامپیوترتان امتحان می کنید . در بیشتر موارد وب سرور user-agent ایجاد شده به وسیله مرور گر را امتحان می کند برای شناسایی پلت فرم خاصی و پاسخ می دهد با منابع سفارشی شده که با تلفن های همراه و تبلت ها مطابقت دارد. دراین شرایط شما می توانید از match and replace برای تغییرات لازم استفاده کنید. تظیمات  سفارشی کردن Burp Proxy برای دستکاری  user-agent در هدر HTTP  :

1. در تب options پراکسی Burp ، به پایین اسکرول کرده تا به قسمت match and replace برسید.
2. برروی دکمه Add در سمت چپ پنجره کلیک کنید. در قسمت type  مقدار request header انتخاب کنید چون ما می خواهیم یک شرط منطبق بر یک درخواست HTTP ایجاد کنیم.
3. در فیلد Match مقدار  ^User-Agent.*$ وارد کنید. این فیلد نشان دهنده این است که چه مقداری باید دردرخواستHTTP مطابقت داده شود. شما دراین قسمت از یک رشته ساده گرفته تا عبارات منظم پیچیده را می توانید وارد کنید.
   درصورتیکه با عبارات منظم آشنا نیستید به لینک http://www.regular-expressions.info/quickstart.html مراجعه کنید.
4. در فیلد Replace  مقدار Mozilla/5.0 (iPhone; U; CPU like Mac OS X; en) AppleWebKit/4h20+ (KHTML, like Gecko) Version/3.0 Mobile/1C25 Safari/419.3 یا هر مقدار ی را که می خواهید جعل کنید وارد کنید.
5.  در صورتیکه از عبارت های منظم استفاده می کنید تیک Regex match را هم بزنید .برروی دکمه Ok کلیک کرده و ببنید مقدار جدید به لیست اضافه شده
   است.
   
6. یک درخواست را متوقف کرده و بررسی کنید که تغییرات به درستی اعمال شده است.

   
   

7. تغییرات خودکار ایجاد شده در هدر HTTP  به وسیله Burp Proxy

 ویرایش HTML 

یکی دیگر از ویژگی های جالب پراکسی Burp  تغییر خودکار HTML است که می توان آنرا از  قسمت Burp Proxy | options  فعال و پیکر بندی کرد.با استفاده از این قابلیت شما می توانید به طور خودکار کدهای جاوا اسکریپت را حذف کنید یا قالب تمامی پاسخ های دریافت شده HTML را تغییر دهید.

بگذارید در عمل بررسی کنیم چگونه می توان این ویژگی را فعال کنیم.

1. در Burp Proxy ، به قسمت Options  وسپس Response Modification  بروید.
2. چندین گزینه در این قسمت وجود دارد که هر کدام از آنها عملیات خاصی را انجام می دهند : گزینه unhide hidden form fields فیلد های مخفی قالب Html  را نمایش می دهد. گزینه enable didabled form field تمامی ورودی ها به قالب های حاضر در صفحه را ثبت می کند، گزینه remove input field lenght limits اجازه می هد رشته هایی با اندازه بزرگتر از حد استاندارد را به درون فیلد متنی صفحه Html واردکنید،گزینه remove javascript from validation  موجب می شود Burp Proxy تمامی کنترل کننده های جاوااسکریپت درون قالب های HTML را حذف کند ، گزینه remove all javascript  به صورت کامل تمامی اسکریپت های جاوا را حذف می کند و remove oject tags  شی های نهفته درون مستندات Html را حذف خواهد کرد.
3. گزینه مورد نظرتان را انتخاب کنید تا به صورت خودکار برنامه Burp آن عملیات را انجام بدهد.

استفاده کردن از این ویژگی شما را قادر می سازد متوجه شوید که آیا برنامه کاربردی تحت وب هدف شما اعتبار سنجی سمت سرور استفاده می کند یا خیر. به عنوان مثال ، برخی از برنامه های کاربردی غیر ایمن از طریق توابع JavaScript  تنها فقط از اعتبار سنجی سمت کلاینت استفاده می کنند، ذر این شرایط شما می توانید به راحتی با ویژگی اصلاح کننده خودکار درخواست ها و انتخب کردن گزینه remove JavaScript from validation اعتبار سنجی را به صورت مستقیم از روی مرور گر خود انجام دهید.