Come utilizzare lo strumento Intruder di Burp Suite per Pentest delle app Web

Burp Suite è un potente scanner di vulnerabilità sviluppato da Portswigger utilizzato per testare la sicurezza delle applicazioni web. Burp Suite, che viene fornito con distribuzioni come Kali e Parrot, ha uno strumento chiamato Intruder, che ti consente di eseguire attacchi speciali automatizzati contro applicazioni online per l’hacking etico. L’intruso è uno strumento flessibile e configurabile, il che significa che puoi usarlo per automatizzare qualsiasi attività che si presenti nelle applicazioni di test.

Quindi come funziona effettivamente?

Usare il bersaglio in Intruder

Target, che puoi vedere quando arrivi alla scheda Intruder in Burp Suite, contiene informazioni sul sito Web o sull’applicazione di destinazione che desideri testare. È possibile inserire le informazioni sull’host e il numero di porta come target nella sezione “Posizioni payload”.

Utilizzo della scheda Posizioni in Intruder

Nella scheda Posizioni è possibile visualizzare i tipi di attacco, il modello di richiesta e le informazioni sui parametri da prendere di mira. Ecco i tipi di attacchi che puoi testare utilizzando Burp Suite.

Sniper: questa opzione utilizza un solo parametro. I parametri non mirati non sono interessati in questo caso.

Ariete: questa opzione utilizza un singolo vettore di attacco per tutti i parametri mirati. In altre parole, se nel modello di richiesta sono presenti tre parametri mirati, li attacca tutti e tre utilizzando gli stessi vettori di attacco.

Pitchfork: in questa opzione è possibile utilizzare più di un vettore di attacco per tutti i parametri mirati. Se pensi che ci siano tre parametri mirati nel modello di richiesta, la prima richiesta sarebbe quella di selezionare e posizionare il primo elemento del primo elenco per il primo parametro; il primo elemento della seconda lista per il secondo parametro; e il primo elemento della terza lista per il terzo parametro. Nella seconda richiesta, gli elementi da selezionare saranno il secondo elemento di ogni lista. È possibile utilizzare questo tipo di attacco quando si posizionano vettori diversi su più parametri target.

Bomba a grappolo: puoi utilizzare più di un vettore di attacco per tutti i parametri mirati usando questa opzione. La differenza tra questo e l’opzione Pitchfork è che una bomba a grappolo ti consente di regolare tutte le distribuzioni di combinazione. Non fa scelte sequenziali come fa Pitchfork. Provare ogni possibile combinazione di parametri di destinazione può comportare un enorme carico di richieste. Di conseguenza, è necessario prestare attenzione quando si utilizza questa opzione.

Ci sono alcuni altri pulsanti utili nella schermata Posizioni. È possibile rimuovere qualsiasi parametro selezionato con il pulsante Cancella a destra. Se vuoi scegliere come target uno nuovo, puoi utilizzare anche il pulsante Aggiungi a destra. Utilizzare il pulsante Auto per selezionare automaticamente tutti i campi o tornare al loro stato originale.

Che cosa sono le schede Payload in Burp Suite?

Pensa agli elenchi di payload come agli elenchi di parole. Puoi utilizzare la scheda Payload per impostare uno o più elenchi di payload . Il numero di set di payload varia a seconda del tipo di attacco.

Puoi definire un set di payload in uno o più modi. Se disponi di un elenco di parole forte, puoi importare il tuo elenco di parole selezionando il pulsante Carica dalla sezione “Opzioni payload”.

Puoi anche preparare set di payload separati per i parametri di destinazione. Ad esempio, puoi utilizzare solo espressioni numeriche per il primo parametro di destinazione, mentre puoi utilizzare espressioni complesse per il secondo parametro di destinazione.

Elaborazione del carico utile

Puoi espandere ulteriormente i set di payload configurati tramite Payload Processing con regole e codifiche. Ad esempio, puoi aggiungere un prefisso a tutti i payload, farli codificare e decodificare o ignorare le espressioni che passano determinate espressioni regolari.

Codifica del carico utile

Con Payload Encoding , puoi specificare quali caratteri devono essere codificati nell’URL nei parametri durante la trasmissione delle richieste HTTP alla destinazione senza problemi. La codifica URL è una versione convertita di informazioni che potrebbero essere confuse con l’indirizzo. Burp Suite invia l’URL per codificare gli equivalenti di caratteri come e commerciale (&), asterischi (*) e punto e virgola e due punti (rispettivamente, ; e:) nelle impostazioni predefinite.

Cos’è la scheda Opzioni in Intruder?

La scheda Opzioni contiene opzioni per le intestazioni delle richieste, i risultati degli attacchi, le corrispondenze grep e i reindirizzamenti. Puoi modificarli nell’interfaccia di Intruder prima di avviare una scansione.

Richiedi intestazioni

È possibile impostare le intestazioni della richiesta utilizzando le impostazioni nel campo “Intestazioni della richiesta”. La cosa importante da notare qui è l’intestazione Content-Length: l’indirizzo di destinazione può restituire un errore se il contenuto non è aggiornato correttamente.

Se le informazioni di Set-Connection non vengono utilizzate, la connessione potrebbe rimanere aperta, quindi, dopo aver attivato l’opzione Set-Connection, la connessione viene terminata. Tuttavia, puoi eseguire le transazioni un po’ più velocemente.

Gestione degli errori

Le impostazioni nella sezione “Gestione degli errori” controllano il motore utilizzato per generare le richieste HTTP nelle scansioni degli intrusi. Qui puoi impostare parametri come la velocità, la gravità e la durata dell’attacco.

Risultati dell’attacco

La sezione “Risultati dell’attacco” ti consente di impostare quali informazioni saranno nei risultati della scansione. Queste impostazioni di configurazione hanno le seguenti opzioni:

• Archivia richieste/risposte: queste due opzioni consentono di specificare se salvare o meno il contenuto delle richieste e delle risposte delle scansioni.
• Effettua richiesta di baseline non modificata: contiene i valori di base dei parametri di destinazione e le richieste di scansione configurate, in modo da poter confrontare le risposte di scansione.
• Usa modalità denial-of-service: con questa opzione è possibile effettuare una normale richiesta di scansione. Tuttavia, potrebbe arrestarsi improvvisamente prima che vi sia una risposta dal server perché questa funzione causa affaticamento nel server di destinazione. Ecco perché devi usarlo con attenzione.
• Memorizza payload completi: consente a Burp Suite di salvare i valori esatti del payload per ogni risultato. Se scegli questo, Intruder occuperà spazio extra.

Grep: abbina, estrai, payload

È possibile utilizzare le impostazioni nelle sezioni “Grep—Match”, “Grep—Extract” e “Grep—Payloads” per contrassegnare i risultati che contengono frasi specificate nelle risposte di scansione. Burp Suite aggiungerà una colonna di conferma per ogni elemento configurato, indicando se l’elemento è stato trovato nella risposta. Ad esempio, negli attacchi con password, potresti vedere frasi come “password errata” e “accesso riuscito”. Le funzionalità nella sezione Grep-Match includono:

• Tipo di corrispondenza: indica se le espressioni definite sono un’espressione regolare (espressione regolare) o un’espressione di testo.
• Corrispondenza con distinzione tra maiuscole e minuscole: specifica se distinguere tra maiuscole e minuscole o meno.
• Escludi intestazione HTTP: specificare se le righe di intestazione sono esenti da questa operazione.

Perché Burp Suite è così importante?

Gli hacker etici usano spesso Burp Suite per operazioni di bug bounty. Allo stesso modo, anche i ricercatori di sicurezza che lavorano in aziende aziendali e i penetration tester che desiderano eseguire test di sicurezza sulle applicazioni Internet potrebbero affidarsi a Burp Suite. Naturalmente, ci sono molti altri ottimi strumenti che puoi utilizzare per i test di penetrazione; padroneggiare altri strumenti di pentesting oltre a Burp Suite ti farà risaltare.