Dove posso trovare un tutorial BURP solido? [chiuso]

Naviga le tue risposte
19

Sto cercando una buona risorsa per l'apprendimento / configurazione di BURP. Capisco i concetti alla base dell'utilizzo del framework e ho letto i documenti sul sito, ma se qualcuno ha un solido link tutorial mi piacerebbe vederlo. Avrei realizzato questo wiki ma non sto cercando di compilare una grande risorsa, voglio solo un paio di link solidi e chiuderò la domanda.

Sono anche apprezzati collegamenti a configurazioni BURP preconfigurate.

Per specificare un po 'di più, sono particolarmente interessato alla configurazione ideale per lo spidering manuale, poiché preferisco la furtività e la capacità di controllare e inondare tonnellate di pagine.

    
posta mrnap 23.02.2011 - 18:28
fonte

5 risposte

15

Oltre ai consigli su come utilizzare Burp, non dimenticare di personalizzare quanto segue:

Invio modulo:

Per impostare nomi e valori adatti per i moduli inviati da Burp, poiché presumo tu non voglia inviare "Weiner": -)

All'interno della finestra di Burp - vai alla scheda "Spider" e poi al menu "Opzioni". Da qui dovresti aggiornare i valori standard nella sezione moduli:

Faiclicsuciascunvaloreeseleziona"modifica", modifica il valore e quindi fai clic sul campo "aggiorna" prima di selezionare il valore successivo:

Caricoutile:

Puoianchemodificareipayloadpredefinitichesonousatiall'internodiBurp.Questopuòesserefattoscompattandoilfile.jar.Questoesempioutilizza7Zipperdecomprimerel'ultimofilediBurp.

Inprimoluogo,faiclicconilpulsantedestrodelmousesulfile.jareselezionaApricon7Zip.Questomostrerà:

Quindi apri burp\PayloadStrings\ :

Daquestacartella,selezionarefuzzing-full.pay.All'internodiquestofilevedraiopzionichepossonoessereconfigurateinbasealletueesigenzespecifiche(evidenziatenell'immagineseguente):

Spider:

Per lo spidering manuale, la pagina di aiuto di Burps ha il seguente consiglio:

passively spider as you browse - If checked, Burp Spider will process all HTTP requests made through Burp Proxy, to identify links and forms on web pages visited. Using this option can enable Burp Spider to build up a detailed picture of an application's contents even when you have only browsed a subset of that content with your browser, because all content that is linked from visited content is automatically added to the Suite site map.

Questo avviene visitando la scheda "Spider" e quindi selezionando la scheda "Opzioni":

In questo modo, controlli la generazione della mappa del sito senza inondare l'host di traffico.

Spero che questo aiuti.

    
risposta data 24.02.2011 - 14:46
fonte
7

Assolutamente assolutamente prendere il manuale di Web Application Hackers di Portswigger (autore di Burp), che è scritto sia come introduzione ai concetti rilevanti per il reverse / hacking di Web App, ma anche come guida passo-passo per l'applicazione questi concetti con Burp Suite.

Tieni presente che la seconda edizione è ora disponibile.

    
risposta data 08.08.2011 - 09:18
fonte
6

Una buona sequenza di esercitazioni che ho visto si trova su Security Ninja sito. Quel link ha ottenuto l'ultimo della serie (si concentra sulla scheda dello scanner) ma ci sono collegamenti agli altri da quella pagina.

    
risposta data 23.02.2011 - 22:37
fonte
2

Questo di SalesForce sembra a posto - un pochino di base se hai già usato il burp.

    
risposta data 23.02.2011 - 22:46
fonte
0

Nella versione 1.5, Burp contiene una solida guida integrata che può essere utilizzata come tutorial. È accessibile tramite Help -> Burp Suite Help

    
risposta data 01.11.2012 - 20:37
fonte

Leggi altre domande sui tag

Come trattare le domande di sicurezza errate non opzionali? Qualsiasi commento o consiglio su OWASP-2013 numero 10 principale A9