Tutorial BurpSuite untuk pemula [updated 2022]

  • Whatsapp
Tutorial BurpSuite untuk pemula [updated 2022]
Tutorial BurpSuite untuk pemula updated

News.nextcloud.asia

Burp Suite Enterprise Edition beta sekarang tersedia |  Blog - PortSwigger

Apa itu Burp Suite?

Burp Suite adalah seperangkat alat yang digunakan untuk pengujian penetrasi aplikasi web. Ini dikembangkan oleh perusahaan bernama Portswigger, yang juga merupakan alias pendirinya Dafydd Stuttard. BurpSuite bertujuan untuk menjadi satu set alat dan kemampuannya dapat ditingkatkan dengan menginstal add-on yang disebut BApps. Ini adalah alat paling populer di kalangan peneliti keamanan aplikasi web profesional dan pemburu hadiah bug. Kemudahan penggunaannya menjadikannya pilihan yang lebih cocok daripada alternatif gratis seperti OWASP ZAP. Burp Suite tersedia sebagai edisi komunitas yang gratis, edisi profesional dengan biaya $399/tahun dan edisi perusahaan dengan biaya $3999/Tahun. Artikel ini memberikan pengantar singkat tentang alat yang ditawarkan oleh BurpSuite. Jika Anda benar-benar pemula dalam Pentest Aplikasi Web/Peretasan Aplikasi Web/Bug Bounty, kami sarankan Anda untuk hanya membaca tanpa terlalu memikirkan istilah. Tools yang ditawarkan oleh BurpSuite adalah: 1. Spider: = Merupakan web spider/crawler yang digunakan untuk memetakan aplikasi web target. Tujuan pemetaan adalah untuk mendapatkan daftar titik akhir sehingga fungsionalitasnya dapat diamati dan kerentanan potensial dapat ditemukan. Spidering dilakukan untuk alasan sederhana bahwa semakin banyak titik akhir yang Anda kumpulkan selama proses pengintaian, semakin banyak permukaan serangan yang Anda miliki selama pengujian Anda yang sebenarnya.

2. Proxy: = BurpSuite berisi proxy pencegat yang memungkinkan pengguna melihat dan mengubah konten permintaan dan tanggapan saat mereka sedang transit. Ini juga memungkinkan pengguna mengirim permintaan/tanggapan di bawah pemantauan ke alat lain yang relevan di BurpSuite, menghilangkan beban salin-tempel. Server proxy dapat disesuaikan untuk berjalan pada ip dan port loop-back tertentu. Proxy juga dapat dikonfigurasi untuk menyaring jenis pasangan permintaan-respons tertentu.

3. Penyusup: = Ini adalah fuzzer. Ini digunakan untuk menjalankan serangkaian nilai melalui titik input. Nilai dijalankan dan output diamati untuk keberhasilan/kegagalan dan panjang konten. Biasanya, anomali menghasilkan perubahan kode respons atau panjang konten respons. BurpSuite memungkinkan brute-force, file kamus dan nilai tunggal untuk posisi muatannya. Penyusup digunakan untuk: Serangan brute force pada formulir kata sandi, formulir pin, dan bentuk lain semacam itu. Serangan kamus pada formulir kata sandi, bidang yang dicurigai rentan terhadap XSS atau injeksi SQL. Pengujian dan pembatasan tingkat serangan pada aplikasi web.

4. Repeater: = Repeater memungkinkan pengguna mengirim permintaan berulang kali dengan modifikasi manual. Ini digunakan untuk: Memverifikasi apakah nilai yang diberikan pengguna sedang diverifikasi. Jika nilai yang diberikan pengguna sedang diverifikasi, seberapa baik hal itu dilakukan? Nilai apa yang diharapkan server dalam parameter input/header permintaan? Bagaimana server menangani nilai yang tidak terduga? Apakah sanitasi input diterapkan oleh server? Seberapa baik server membersihkan input yang disediakan pengguna? Apa gaya sanitasi yang digunakan oleh server? Di antara semua cookie yang ada, mana yang merupakan cookie sesi yang sebenarnya. Bagaimana perlindungan CSRF diterapkan dan jika ada cara untuk melewatinya?

5. Sequencer: = Sequencer adalah pemeriksa entropi yang memeriksa keacakan token yang dihasilkan oleh server web. Token ini umumnya digunakan untuk otentikasi dalam operasi sensitif: cookie dan token anti-CSRF adalah contoh token tersebut. Idealnya, token-token ini harus dibangkitkan dengan cara yang sepenuhnya acak sehingga kemungkinan munculnya setiap karakter yang mungkin pada suatu posisi terdistribusi secara merata. Ini harus dicapai baik bit-bijaksana dan karakter-bijaksana. Sebuah penganalisa entropi menguji hipotesis ini untuk menjadi benar. Cara kerjanya seperti ini: awalnya, diasumsikan bahwa tokennya acak. Kemudian token diuji pada parameter tertentu untuk karakteristik tertentu. Tingkat signifikansi istilah didefinisikan sebagai nilai probabilitas minimum bahwa token akan menunjukkan suatu karakteristik, sehingga jika token memiliki probabilitas karakteristik di bawah tingkat signifikansi, hipotesis bahwa token tersebut acak akan ditolak. Alat ini dapat digunakan untuk mengetahui token yang lemah dan menghitung konstruksinya.

6. Decoder:= Decoder mencantumkan metode pengkodean umum seperti URL, HTML, Base64, Hex, dll. Alat ini berguna saat mencari potongan data dalam nilai parameter atau header. Ini juga digunakan untuk konstruksi muatan untuk berbagai kelas kerentanan. Ini digunakan untuk mengungkap kasus utama IDOR dan pembajakan sesi.

7. Extender:= BurpSuite mendukung komponen eksternal untuk diintegrasikan ke dalam rangkaian alat untuk meningkatkan kemampuannya. Komponen eksternal ini disebut BApps. Ini berfungsi seperti ekstensi browser. Ini dapat dilihat, dimodifikasi, diinstal, dihapus di jendela Extender. Beberapa dari mereka didukung pada versi komunitas, tetapi beberapa memerlukan versi profesional berbayar.

8. Pemindai: = Pemindai tidak tersedia di edisi komunitas. Ini memindai situs web secara otomatis untuk banyak kerentanan umum dan mencantumkannya dengan informasi tentang kepercayaan atas setiap temuan dan kompleksitas eksploitasinya. Ini diperbarui secara teratur untuk memasukkan kerentanan baru dan kurang dikenal.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.