Программирование • 07 ноября 2024 • 5 мин чтения

Инструмент Burp Suite: как настроить, чтобы проверить безопасность сайта

Burp Suite нужен, чтобы «подсматривать» за обменом данными и находить слабые места в защите сайта. Рассказываем, как установить, запустить и настроить инструмент.

Для чего нужен Burp Suite?

Burp Suite — это инструмент для тестирования безопасности веб-приложений. Программа позволяет видеть, как данные передаются между браузером и сервером, и искать ошибки в этом процессе.

Примеры уязвимостей, которые помогает находить Burp Suite:

XSS (межсайтовый скриптинг) — уязвимость, используя которую злоумышленник может внедрить на веб-страницу вредоносный код. Такой код будет выполнен в браузере пользователей, что может привести к кражам данных. Например, код на JavaScript, который показывает пользователю фальшивое окно авторизации для кражи паролей.
SQL-инъекции — пользовательский ввод, который может изменить запрос к базе данных и открыть злоумышленникам доступ к информации в ней. Например, поле на сайте, куда пользователь вводит своё имя, позволяет злоумышленнику вставить команды для доступа к базе с именами, телефонами и адресами других пользователей.
Уязвимости в настройках сервера. Неправильные настройки веб-сервера или ПО могут открывать доступ к важной информации или снижать уровень защиты данных. Например, сервер может быть настроен так, что отображает список всех файлов в каталоге, а злоумышленник сможет зайти и посмотреть их содержимое.
Ошибки в управлении сессиями. Сессии пользователя часто управляются с помощью файлов cookie, которые содержат информацию об активности пользователя на сайте: какие он вводил данные, какие страницы просматривал. Если управление сессиями настроено неправильно, злоумышленники могут похитить эти данные и выдать себя за пользователя, получая доступ к его аккаунту.

Разберём на примере, как Burp Suite находит такую уязвимость, как межсайтовый скриптинг (Cross-Site Scripting, XSS). Сначала настраивают браузер так, чтобы весь его трафик проходил через Burp Suite. Затем открывают нужный сайт и вводят в поиске или в другой форме, в которую пользователи вводят данные, какое-нибудь слово, например «тест». Burp Suite «ловит» этот запрос и показывает его на экране.

Теперь вместо слова «тест» подставляют специальный код, который имитирует вредоносный скрипт, и отправляют запрос на сайт. Если сайт отображает этот код, значит, злоумышленник мог бы вставить туда настоящий вирус.

Как решать подобные задачи, учат на курсе «Специалист по информационной безопасности». Студенты изучают инструменты, которые помогают пентестерам проверять системы на уязвимость, а в рамках выпускного проекта проводят полный аудит веб-приложения.

Основные компоненты Burp Suite

Компонент	Функция
Repeater	Основной компонент, с которым придётся работать большую часть времени. Позволяет вручную отправлять изменённые запросы на сайт. Это полезно, когда нужно тестировать одну и ту же часть сайта с разными настройками (например, на предмет того, можно ли вставить вредоносный код)
Intruder	Инструмент для автоматического тестирования. Он отправляет много запросов с разными значениями, чтобы найти слабые места в поле ввода или настройках сайта, — например, может сымитировать подбор пароля. В бесплатной версии работает медленнее, чем в Pro, поэтому не подойдёт для тестирования большого приложения вроде банковского сервиса
Proxy	«Ловит» запросы, которые браузер отправил на сайт. Например, если отправить логин и пароль, Proxy позволяет увидеть, как они передаются, и изменить их, чтобы проверить, правильно ли сайт их обрабатывает
Target	Создаёт карту сайта. Она показывает все страницы, которые посетил пользователь, и то, как они связаны друг с другом
Scanner (доступен в Burp Suite Pro)	Автоматически ищет уязвимости — например, защищён ли сайт от XSS и SQL-инъекций
Decoder	Используется для расшифровки или кодирования данных. Полезен, если нужно понять, что значит зашифрованный текст, или преобразовать его (например, выяснить, что содержат файлы cookie)
Collaborator (доступен в платной версии)	Помогает проверять уязвимости, которые могут требовать взаимодействия с внешними сервисами, например для захвата данных или проверки доступности сервера с других устройств. Collaborator создаёт специальные ссылки, чтобы видеть, как сайт реагирует на такие запросы
Comparer	Сравнивает два ответа от сервера, чтобы найти различия и понять, что изменилось после определённых действий на сайте — например, до и после входа в систему
Sequencer	Анализирует надёжность различных токенов и идентификаторов сессий на сайте. Например, можно загрузить в него список токенов, и он покажет, насколько случайно они генерируются, насколько одни символы используются чаще, чем другие. Если токен сессии легко угадать, злоумышленник сможет захватить сессию пользователя
Logger	Записывает и хранит все запросы и ответы, которые проходят через Burp Suite. Полезно для поиска ошибок или повторного анализа
Extender	Позволяет добавлять в Burp Suite новые возможности с помощью плагинов — например, для поиска менее очевидных уязвимостей, которые не «ловятся» с помощью стандартных инструментов

У Burp Suite активное сообщество: пользователи создали базу BApp Store с расширениями, которые повышают эффективность инструмента. Например, есть уязвимости, связанные с «отравлением» веб-кеша. В этом случае пользователю показывают вредоносный контент — от поддельных страниц входа до файлов, заражённых вредоносным ПО. Пользователи Burp Suite разработали и выложили в открытый доступ расширение, которое помогает найти такую уязвимость.

Как установить

1. Зайти на официальный сайт Burp Suite и скачать одну из версий. Burp Suite Community Edition — бесплатная версия с базовым функционалом. Professional Edition — платная версия с расширенными возможностями, например с автоматическим сканированием уязвимостей.

Email можно не оставлять, а сразу перейти на страницу с загрузкой

2. Запустить скачанный установочный файл и следовать инструкциям на экране.

3. Открыть Burp Suite. При первом запуске программа отправит системное сообщение: создать новый проект или открыть существующий. Нужно выбрать «Temporary Project» и нажать «Start Burp».

Дополнительные настройки не нужны — на каждом шаге нажимаем на оранжевую кнопку

Burp Suite установлен и готов к использованию. Теперь можно перейти к настройке прокси, чтобы начать перехватывать трафик

Настройка прокси

Burp Suite перехватывает трафик между браузером и сервером с помощью встроенного прокси-сервера. Настроим его, используя браузер Firefox:

1. Переходим на вкладку Proxy → Intercept. Важно убедиться, что кнопка Intercept активна (включена). Это позволяет перехватывать запросы браузера.

Так выглядит активная кнопка Intercept

2. Меняем настройки браузера, чтобы трафик проходил через Burp Suite. Например, в Firefox в меню настроек нужно найти «Настройки сети», указать адрес 127.0.0.1 и порт 8080. Это стандартные настройки Burp Suite.

В разделе Proxy Settings есть все нужные настройки для браузера

Настройки прокси в браузере можно найти через поиск

Вводим адрес и порт, которые есть в настройках Burp Suite. Иногда программа может не работать, потому что адрес или порт заняты другим приложением. Тогда в Burp Suite можно изменить данные: например, вместо 8080 указать 8081. То же самое сделать в браузере

3. Устанавливаем сертификат безопасности (для HTTPS) Burp Suite, чтобы просматривать зашифрованный трафик. Программа генерирует свой сертификат и сама его подписывает. Если не добавить его в браузер как доверенный, сайты, которые используют SSL-сертификаты, могут не открыться. Чтобы добавить сертификат в браузер, переходим на сайт http://burpsuite, скачиваем сертификат, а затем импортируем его.

Чтобы скачать сертификат, нажимаем CA Certificate

Заходим в раздел «Приватность и защита» → «Просмотр сертификатов».

Нажимаем «Импортировать», чтобы загрузить сертификат.

Выбираем файл и нажимаем «Ок».

4. Попробуем зайти на любой сайт. Если Burp Suite настроен правильно, запросы будут перехватываться — информация появится во вкладке Intercept.

Информация об обмене данными отображается в приложении. Теперь Burp Suite готов перехватывать и анализировать HTTP/HTTPS-трафик, что позволяет исследовать, как веб-приложения обрабатывают данные

Совет эксперта

Иван Авраменко
Burp Suite — это «швейцарский нож» для тестирования безопасности веб-приложений, который помогает находить уязвимости и уверенно с ними работать. Чем лучше вы освоите Burp Suite, тем больше возможностей в пентестировании получите. Начните с бесплатной версии, изучите основные инструменты — Proxy и Repeater, которые нужны для перехвата и изменения запросов. Практикуйтесь на специальных сайтах — DVWA или OWASP Juice Shop. Это тренировочные полигоны, где собраны самые популярные веб-уязвимости. Записывайте свои шаги, чтобы не терять нить тестирования.

Статью подготовили: