Analiza alata Burp Suite

Burp Suite je integrirana platforma za testiranje web-aplikacija. Ona sadrži brojne alate s velikim brojem sučelja koji omogućuju izravno spajanje izlaza jednog alata s ulazom drugog te grafičko sučelje za upravljanje napadom i vizualizaciju rezultata. Svi alati dijele isti robustan framework za rukovanje HTTP zahtjevima, provjeru autentičnosti, upravljanje Burp Proxy alatom, praćenje događaja i dr. Burp Suite omogućuje kombiniranje ručnih i automatiziranih metoda za enumeraciju, analizu, skeniranje, napad i eksploatiranje web aplikacija. Razni Burp alati sa svojim brojnim opcijama predstavljaju veliku prepreku u njegovom korištenju. U dokumentu se kroz praktične primjere detaljno obrađuje korištenje podržanih Burp alata. Analiziraju se i česti propusti web aplikacija te način otkrivanja istih korištenjem skupa alata Burp Suite.

Pojavom paradigme „Web 2.0“, web aplikacije su postale uobičajen način kojim tvrtke komuniciraju i posluju s vanjskim svijetom. Statičke web stranice su dio prošlosti i sada gotovo svaka tvrtka ima svoju dinamičku, interaktivnu web aplikaciju koja joj omogućuje komunikaciju sa svojim klijentima. Upravo te aplikacije često imaju ozbiljne sigurnosne propuste pomoću kojih zlonamjerni korisnici mogu tvrtki nanijeti veliku materijalnu štetu. Nema sumnje da je sigurnost web aplikacija aktualna tema. Udjeli su visoki za sve sudionike: tvrtke koje putem web aplikacija povećavaju svoje prihode i prisutnost na tržištu, korisnici koji vjeruju web aplikacijama da će čuvati njihove povjerljive podatke te kriminalci koji iskorištavanjem sigurnosnih ranjivosti mogu ukrasti velike količine novaca. Ugled je ključan element, nitko ne želi poslovati s nesigurnom web aplikacijom i zato tvrtke rijetko objavljuju svoje sigurnosne incidente. Stoga nije jednostavno doći do pouzdanih informacija o stanju sigurnosti web aplikacija danas. Kako bi se na vrijeme otkrili potencijalni sigurnosni nedostaci web aplikacija nastali su brojni alati koji pomažu u otkrivanju ranjivosti. Budući da se kroz vrijeme pojavio velik broj ranjivosti tako je i broj alata koji ih otkrivaju također porastao.

Problem koji se danas javlja prilikom sigurnosnog testiranja web aplikacija nije kako otkriti ranjivosti već koje alate koristiti za učinkovito i pouzdano otkrivanje svih propusta. Alate koji samostalno provjeravaju postoje li unaprijed poznati sigurnosni propusti zovu se automatizirani WAS alati ili skeneri. S druge strane,  alati koji zahtijevaju korisnikovu pažnju i koji prikupljene podatke ne interpretiraju samostalno nazivaju se okoline za testiranje (engl. testing suites). Skeneri često ne uspijevaju prijaviti sve ranjivosti web aplikacije. Postoje različite barijere potpuno automatiziranom pristupu otkrivanja ranjivosti web aplikacija. Svaka web aplikacija je drugačija. Skeneri su zasnovani na sintaksi, a ne semantici, tj. nemaju sposobnost improvizacije, nemaju intuiciju. Zato se stvorila potreba za alatima koji će omogućiti detaljno praćenje prometa koji se proizvodi korištenjem web aplikacije i koji će omogućiti korisniku da podesi svoje napade ovisno o situaciji. Jedan od najpoznatijih alata za testiranje web aplikacija je Burp Suite. Burp Suite je integrirana platforma za testiranje web aplikacija koja se ističe od ostalih sličnih alata iznimno velikom funkcionalnošću koja olakšava i automatizira sve faze testiranja, zadržavajući pritom dovoljno prostora za ručno pregledavanje i podešavanje opcija.

Cijeli dokument (u PDF formatu) "Analiza alata Burp Suite" preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr