Difference between revisions of "Burp Suite: Tutorial 1"

From OnnoWiki
Jump to navigation Jump to search
(Created page with "Sumber: https://www.pentestgeek.com/web-applications/burp-suite-tutorial-1 Burp Suite Tutorial – Web Application Penetration Testing (Part 1) Burp Suite from Portswigg...")
 
 
(33 intermediate revisions by the same user not shown)
Line 2: Line 2:
  
  
 +
Burp Suite dari Portswigger adalah salah satu tool favorit untuk melakukan Web Penetration Test. Berikut adalah langkah-langkah yang bisa dilakukan menggunakan Burp Suite.
  
 +
==Konfigurasi Outbound SOCKS Proxy==
  
Burp Suite Tutorial – Web Application Penetration Testing (Part 1)
+
'''NOTE:''' Burpsuite di Kali 2020.1 tampaknya ini tidak ada.
  
 +
Bergantung pada scope yang ingin kita lakukan, mungkin perlu untuk mengarahkan traffic Burp Suite agar  melalui Outbound SOCKS Proxy. Ini memastikan bahwa traffic pengujian berasal dari lingkungan pengujian yang disetujui. Yang lebih baik adalah menggunakan koneksi SSH sederhana untuk tujuan ini. SSH out ke server pengujian kita dan mengatur Proxy SOCKS di localhost melalui opsi ‘–D’ seperti ini.
  
Burp Suite from Portswigger is one of my favorite tools to use when performing a Web Penetration Test. The following is a step-by-step Burp Suite Tutorial. I will demonstrate how to properly configure and utilize many of Burp Suite’s features. After reading this, you should be able to perform a thorough web penetration test. This will be the first in a two-part article series.
+
ssh –D 9292 –l username servername
What we will cover:
 
  
    Outbound SOCKS Proxy Configuration
+
Arahkan ke tab Opsi yang terletak di ujung kanan menu paling atas di Burp Suite. Pada sub-tab "Connections", scroll  ke bawah ke bagian ketiga berlabel "SOCKS Proxy". Ketik localhost untuk opsi host dan 9292 untuk opsi port.
    Intercept & Scope Configuration
 
    Manual Application Walkthrough
 
    Using The Spider & Discover
 
    Using The Repeater Tab
 
    Using The Intruder Tab
 
    Text Specific Searching
 
    Using The Automated Scanner
 
  
Disclaimer: Testing web applications that you do not have written authorization to test is illegal and punishable by law.  
+
[[File:1-socks-proxy-settings.png|center|300px|thumb|Burp Suite Tutorial - SOCKS Proxy Settings]]
Configure Outbound SOCKS Proxy – Burp Suite Tutorial
 
  
Depending on the scope of your engagement, it may be necessary to tunnel your Burp Suite traffic through an outbound SOCKS Proxy. This ensures that testing traffic originates from your approved testing environment. I prefer to use a simple SSH connection which works nicely for this purpose. SSH out to your testing server and setup a SOCKS Proxy on your localhost via the ‘–D’ option like this.
+
Sekarang Burp Suite dikonfigurasi untuk mengarahkan traffic melalui  outbound SSH tunnel. Konfigurasikan pengaturan proxy browser kita untuk menggunakan Burp Suite. Arahkan ke www.whatismyip.com dan pastikan alamat IP kita berasal dari lingkungan pengujian kita.
  
ssh –D 9292 –l username servername
+
* '''Tip''' Sebaiknya menggunakan browser terpisah untuk pengujian aplikasi web. Ini memastikan anda tidak akan secara sengaja mengirimkan data pribadi ke salah satu situs klien anda seperti kata sandi ke akun gmail misalnya.
  
Navigate to the Options tab located near the far right of the top menu in Burp Suite. From the “Connections” sub-tab, Scroll down to the third section labeled “SOCKS Proxy”. Type in localhost for the host option and 9292 for the port option.
+
Untuk memudahkan akan lebih baik menambahkan addon switching proxy seperti "SwitchySharp" untuk Google Chrome. Ini memungkinkan kita untuk dengan mudah berpindah-pindah antar berbagai konfigurasi proxy yang mungkin kita perlukan untuk engagement yang berbeda. Berikut adalah pengaturan konfigurasi untuk Burp Suite.
  
Burp Suite Tutorial - SOCKS Proxy Settings
+
[[File:2-switchysharp-proxy-addon.png|center|300px|thumb|Burp Suite Tutorial - SwitchySharp Proxy Settings]]
  
Now Burp Suite is configured to route traffic through your outbound SSH tunnel. Configure your browser’s proxy settings to use Burp Suite. Navigate to www.whatismyip.com and ensure your IP address is coming from your testing environment.
+
==Konfigurasi Perilaku Intercept==
  
#ProTip I use a separate browser for web application testingThis ensures I don’t accidentally pass any personal data to one of my client’s sites such as the password to my gmail account for example.
+
Hal berikutnya yang perlu kita lakukan adalah mengkonfigurasi fitur proxy intercept. Set hanya untuk pause pada request dan responds ke dan dari situs target saja. Klik menu tab "Proxy" > sub-tab "Options". Heading kedua dan ketiga menampilkan opsi yang dapat dikonfigurasi untuk intercepting request dan respons. Hapus Burp Suite default dan check “URL Is in target scope”. Selanjutnya intercept off karena tidak diperlukan untuk awal walkthrough kita. Di menu "Proxy" > sub-tab “Intercept” pastikan bahwa tombol sakelar tertulis “Intercept is off”
  
I also prefer to use a proxy switching addon such as “SwitchySharp” for Google Chrome. This allows me to easily switch back-and-forth between various proxy configurations that I might need during different engagements. Here is what my configuration settings look like for Burp Suite.
+
[[File:3-proxy-intercept-settings.png|center|300px|thumb|Burp Suite Tutorial - Proxy Intercept Settings]]
  
Burp Suite Tutorial - SwitchySharp Proxy Settings
+
==Application Walkthrough==
Configure Intercept Behavior – Burp Suite Tutorial
 
  
The next thing I do is configure the proxy intercept feature. Set it to only pause on requests and responses to and from the target site. Navigate to the “Proxy” tab under the “Options” sub-tab. The second and third headings display the configurable options for intercepting requests and responses. Uncheck the Burp Suite defaults and check “URL Is in target scope”. Next turn intercept off as it is not needed for the initial application walkthrough. From the “Intercept” sub-tab ensure that the toggle button reads “Intercept is off”
+
Untuk beberapa alasan, banyak orang suka melewatkan langkah ini. Melewatkan walkthrough sama sekali tidak merekomendasikan. Selama penelusuran awal aplikasi target kita, penting untuk mengklik sebanyak mungkin alamat / situs secara manual. Coba dan tahan keinginan untuk mulai menganalisis berbagai hal di Burp Suite secara langsung. Daripada, habiskan waktu yang baik dan klik pada setiap tautan dan lihat setiap halaman. Sama seperti yang dilakukan pengguna normal. Pikirkan tentang bagaimana situs bekerja atau bagaimana "seharusnya" bekerja.
  
Burp Suite Tutorial - Proxy Intercept Settings
+
Anda perlu berfikir akan pertanyaan-pertanyaan berikut:
  
+
* Jenis tindakan apa yang dapat dilakukan oleh seseorang, baik oleh mereka yang terautentikasi maupun yang tidak terauthentikasi?
Application Walkthrough – Burp Suite Tutorial
+
* Apakah ada permintaan yang tampaknya diproses oleh pekerjaan di sisi server atau operasi basis data?
 +
* Apakah ada informasi yang ditampilkan yang dapat saya kontrol
  
For some reason, a lot of people like to skip this step. I don’t recommend this. During the initial walkthrough of your target application it is important to manually click through as much of the site as possible.  Try and resist the urge to start analyzing things in Burp Suite right a way. Instead, spend a good while and click on every link and view every page. Just like a normal user might do. Think about how the site works or how it’s “supposed” to work.
+
Jika kita menemukan formulir input, pastikan untuk melakukan beberapa kasus uji manual. Masukkan tanda centang tunggal dan tekan send pada formulir pencarian atau field kode pos yang kita temui. Anda mungkin akan terkejut betapa seringnya kerentanan keamanan ditemukan oleh eksplorasi karena curious / keingin tahuan dan bukan oleh scanning otomatis.
  
You should be thinking about the following questions:
+
==Konfigurasi Target Scope Anda==
  
    What types of actions can someone do, both from an authenticated and unauthenticated perspective?
+
Sekarang setelah kita bisa merasakan bagaimana aplikasi target kita bekerja, waktunya untuk mulai menganalisis beberapa GET dan POST. Namun, sebelum melakukan pengujian apa pun dengan Burp Suite, sebaiknya tentukan lingkup target kita dengan benar. Ini akan memastikan bahwa kita tidak mengirimkan traffic yang berpotensi berbahaya ke situs web yang tidak kita uji.
    Do any requests appear to be processed by a server-side job or database operation?
 
    Is there any information being displayed that I can control
 
  
If you stumble upon any input forms, be sure to do some manual test cases. Entering a single tick and hit submit on any Search form or zip code field you come across. You might be surprised at how often security vulnerabilities are discovered by curious exploration and not by automated scanning.
+
* '''Tip''' Pastikan anda punya ijin / authorisasi untuk men-test '''www.target.anda''' - urusannya denda Rp. 600 juta dan atau penjara.
Configure Your Target Scope – Burp Suite Tutorial
 
  
Now that you have a good feel for how your target application works its time to start analyzing some GETs and Posts. However, before doing any testing with Burp Suite it’s a good idea to properly define your target scope.  This will ensure that you don’t send any potentially malicious traffic to websites that you are not authorized to test.
+
Klik tab "Target" > sub-tab "Site map". Pilih situs web target kita dari panel tampilan kiri. Klik kanan dan pilih "“Add to scope". Selanjutnya highlight semua situs lain di display pane, klik kanan dan pilih  Remove from scope. Jika kita melakukan ini dengan benar, tab Burp Suite scope kita akan terlihat seperti gambar di bawah ini.
  
#ProTip I am authorized to test www.pentestgeek.com. *You* are not.
+
[[File:4-scope sub-tab.png|center|300px|thumb|Burp Suite Tutorial - Scope Settings]]
  
Head over to the “Target” tab and then the “Site map” sub-tab.  Select your target website from the left display pane.  Right click and choose “Add to scope’.  Next highlight all other sites in the display pane, right click and select Remove from scope.  If you’ve done this correctly your Burp Suite scope tab should look something like the image below.
+
==Initial Pilfering==
  
Burp Suite Tutorial - Scope Settings
+
Klik menu "Target" > sub-tab “Site Map”. Scroll ke bawah ke cabang yang sesuai dan perluas semua panah sampai kita mendapatkan gambar lengkap dari situs target kita. Ini harus mencakup semua halaman individual yang kita telusuri serta file javascript dan css. Luangkan waktu sejenak untuk menyerap semua ini, coba dan cari file yang tidak kita kenal dari panduan manual. kita dapat menggunakan Burp Suite untuk melihat respons setiap permintaan dalam sejumlah format berbeda yang terletak di tab "Responds" di panel tampilan kanan bawah. Jelajahi setiap respons mencari hal-hal yang menarik. Hal-hal yang mungkin mengejutkan kita termasuk:
Initial Pilfering – Burp Suite Tutorial
 
  
Click on the “Target” tab and the “Site Map” sub tab.  Scroll down to the appropriate site branch and expand all the arrows until you get a complete picture of your target site.  This should include all of the individual pages you browsed as well as any javascript and css files. Take a moment to soak all of this in, try and spot files that you don’t recognize from the manual walkthrough.  You can use Burp Suite to view the response of each request in a number of different formats located on the “Resposne” tab of the bottom right display pane. Browse through each respond searching for interesting gems. Things you might be surprised to find include:
+
* Komentar Developer
 +
* Email address
 +
* Username & password jika kita cukup beruntung
 +
* Informasi Path ke file/directory
 +
* dll
  
    Developer comments
+
==Search Specific Keyword==
    Email addresses
 
    Usernames & passwords if you’re lucky
 
    Path disclosure to other files/directories
 
    Etc…
 
  
+
'''NOTE:''' ini hanya bisa dilakukan pada versi Pro :(...
Search Specific Keywords – Burp Suite Tutorial
 
  
You can also leverage Burp Suite to do some of the heavy lifting for you. Right click on a node, from the “Engagement tools” sub-menu select “Search”. One of my favorite searches is to scan for the string “set-cookie”. This lets you know which pages are interesting enough to require a unique cookie. Cookies are commonly used by web application developers to differentiate between requests from multiple site users. This ensures that user ‘A’ doesn’t get to view the information belonging to user ‘B’. For this reason it is a good idea to identify these pages and pay special attention to them.
+
Kita juga dapat memanfaatkan Burp Suite untuk melakukan beberapa pekerjaan berat untuk kita. Klik kanan pada sebuah node, dari sub-menu “Engagement tools” pilih "Search". Salah satu pencarian favorit adalah untuk memindai string "set-cookie". Ini memungkinkan kita mengetahui halaman mana yang cukup menarik untuk membutuhkan cookie yang unik. Cookie biasanya digunakan oleh pengembang aplikasi web untuk membedakan antara permintaan dari beberapa pengguna situs. Ini memastikan bahwa pengguna 'A' tidak bisa melihat informasi milik pengguna 'B'. Untuk alasan ini, merupakan ide bagus untuk mengidentifikasi halaman-halaman ini dan memberikan perhatian khusus kepada mereka.
  
Burp Suite Tutorial - Search Specific Keywords
+
[[File:55-Search-Feature.png|center|300px|thumb|Burp Suite Tutorial - Search Specific Keywords]]
 
Using Spider and Discover – Burp Suite Tutorial
 
  
After a good bit of manual poking and prodding it’s usually beneficial to allow Burp Suite to spider the host.  Just right click on the target’s root branch in the sitemap and select “Spider this host”.
+
==Penggunaan Spider dan Discover==
  
Burp Suite Tutorial - Spider Feature
+
'''NOTE:''' ini adanya di versi Pro.
  
Once the spider has finished, go back to your site-map and see if you picked up any new pages.  If you have, take a manual look at them in your browser and also within Burp Suite to see if they produce anything interesting. Are there any new login prompts, or input boxes for example? If you’re still not satisfied with all that you have found you can try Burp Suite’s discovery module.  Right click on the target site’s root branch and from the “Engagement tools” sub-menu select “Discover Content”.  On most sites this module can and will run for a long time so it’s a good practice to keep an eye on it. Make sure that it completes or shut it off manually before it runs for too long.
+
Setelah sedikit colek sana colek sini secara manual, biasanya akan lebih baik jika mengijinkan Burp Suite untuk men-spider host. Cukup klik kanan pada cabang root target di sitemap dan pilih "Spider this host".
  
+
[[File:6-spidering-a-host.png|center|300px|thumb|Burp Suite Tutorial - Spider Feature]]
Using The Repeater – Burp Suite Tutorial
 
  
The Repeater tab is arguably one of the most useful features in Burp Suite. I use it hundreds of times on every web application that I test. It is extremely valuable and also incredibly simple to use. Just right click on any request within the “Target” or “Proxy” tab and select “Send to Repeater”. Next click over to the “Repeater” tab and hit “Go”. You will see something like this.
+
Setelah proses spider selesai, kembali ke site-map kita dan lihat apakah kita memperoleh page baru. Jika sudah, lihat secara manual di browser dan juga di dalam Burp Suite untuk melihat apakah ada sesuatu yang menarik. Apakah ada prompt login baru, atau kotak input misalnya? Jika kita masih tidak puas dengan semua yang kita temukan, kita dapat mencoba Burp Suite discovery module. Klik kanan pada cabang root situs target dan dari sub-menu “Engagement tools” pilih “Discover Content”. Di sebagian besar situs, modul ini dapat dan akan berjalan untuk waktu yang lama oleh karenanya sangat di sarankan untuk diawasi operasionalnya. Pastikan dia selesai atau matikan secara manual sebelum berjalan terlalu lama.
  
Burp Suite Tutorial - The Repeater
+
==Penggunaan Repeater==
  
Here you can use burp suite to manipulate any part of the HTTP request headers and see what the response looks like. I recommend spending some good time here playing with every aspect of the HTTP request. Especial any GET/POST parameters that are besting sent along with the request.
+
Tab Repeater adalah salah satu fitur yang paling berguna di Burp Suite. Seorang pentester akan menggunakannya ratusan kali pada setiap aplikasi web yang sedang ujinya. Ini sangat berharga dan juga sangat mudah digunakan. Cukup klik kanan pada permintaan apa pun di tab "Target" atau "Proxy" dan pilih “Send to Repeater”. Selanjutnya klik ke tab "Repeater" dan tekan "Go". Kita akan melihat sesuatu seperti ini.
Using The Intruder – Burp Suite Tutorial
 
  
If you are limited on time and have too many requests and individual parameters to do a thorough manual test. The Burp Suite Intruder is a really great and powerful way to perform automated and semi-targeted fuzzing. You can use it against one or more parameters in an HTTP request. Right click on any request just as we did before and this time select “Send to Intruder”. Head over to the “Intruder” tab and click on the “Positions” sub-tab. You should see something like this.
+
[[File:7-repeater-screen.png|center|300px|thumb|Burp Suite Tutorial - The Repeater]]
  
Burp Suite Tutorial - Intruder Positions
+
Di sini kita dapat menggunakan burp suite untuk memanipulasi bagian mana pun dari header permintaan HTTP dan melihat seperti apa responsnya.  Disarankan untuk menghabiskan waktu yang baik di sini bermain dengan setiap aspek dari permintaan HTTP. Terutama setiap parameter GET / POST yang dikirim bersamaan dengan permintaan.
  
I recommend using the “Clear” button to remove what is selected at first. The default behavior is to test everything with an ‘=’ sign. Highlight the parameters you wan’t to fuzz and click “Add”. Next you need to go to the “Payloads” sub-tab and tell Burp Suite which test cases to perform during the fuzzing run. A good one to start off with is “Fuzzing – full”. this will send a number of basic test cases to every parameter that you highlighted on the “Positions” sub-tab.
+
==Penggunaan Intruder==
  
Burp Suite Tutorial - Intruder Payloads
+
Jika kita memiliki waktu yang  terbatas dan terlalu banyak permintaan dan parameter individual untuk melakukan tes manual menyeluruh. Burp Suite Intruder adalah cara yang hebat dan powerful untuk melakukan automated dan semi-targeted fuzzing. Kita dapat menggunakannya terhadap satu atau lebih parameter dalam permintaan HTTP. Klik kanan pada permintaan apa pun seperti yang kita lakukan sebelumnya dan kali ini pilih “Send to Intruder”. Buka tab "Intruder" dan klik pada tab "Positions". Kita harusnya akan melihat tampilan seperti ini.
Automated Scanning – Burp Suite Tutorial
 
  
The last thing that I do when testing a web application is perform an automated scan using Burp Suite. Back on your “Site map” sub-tab, right click on the root branch of your target site and select “Passively scan this host”. This will analyze every request and response that you have generated during your Burp Suite session. It will produce a vulnerability advisor on the “Results” sub-tab located on the “Scanner” tab. I like to do the passive scan first because it doesn’t send any traffic to the target server. Alternatively you can configure Burp Suite to passively analyze requests and responses automatically in the “Live scanning” sub-tab. You can also do this for Active Scanning but I do not recommend it.
+
[[File:8-Intruder-1.png|center|300px|thumb|Burp Suite Tutorial - Intruder Positions]]
  
When doing an active scan I like to use the following settings.
+
Sangat disarankan untuk menggunakan tombol "Clear" untuk menghapus apa yang dipilih pada awalnya. Perilaku default adalah untuk menguji semuanya dengan tanda ‘=’.  
  
Burp Suite Tutorial - Active Scan Settings
+
'''NOTE:''' ini hanya bisa jalan di versi Pro.
End Of Part1 – Burp Suite Tutorial
 
  
Hopefully you’ve learned some useful techniques for performing Web Penetration Testing. In Part 2, we will go over some more of Burp Suite’s features. We will cover reporting and exporting session data for collaboration with other pentesters. I look forward to seeing you there. Thank you for reading and as always, Hack responsibly.
+
Highlight parameter yang tidak ingin kita fuzz dan klik "Add". Selanjutnya kita harus pergi ke sub-tab "Payloads" dan memberi tahu Burp Suite kasus uji apa yang harus dilakukan selama menjalankan fuzzing. Yang baik untuk memulai adalah “Fuzzing - full”. ini akan mengirim sejumlah kasus uji dasar ke setiap parameter yang kita sorot pada sub-tab "Positions".
  
 +
[[File:9-Intruder-21.png|center|200px|thumb|Burp Suite Tutorial - Intruder Payloads]]
  
 +
==Automated Scanning==
  
 +
'''NOTE:''' ini hanya ada di Pro.
  
 +
 +
Hal terakhir yang kita lakukan ketika menguji aplikasi web adalah melakukan scanning otomatis menggunakan Burp Suite. Kembali ke subtab “Site map” kita, klik kanan pada cabang root dari situs target dan pilih “Passively scan this host”. Ini akan menganalisis setiap request dan respond yang telah kita hasilkan selama sesi Burp Suite kita. Ini akan menghasilkan vulnerability advisor pada subtab "Results" yang terletak pada tab "Scanner". Kita ingin melakukan scanning pasif terlebih dahulu karena tidak mengirim traffic ke server target. Sebagai alternatif, kita dapat mengonfigurasi Burp Suite untuk secara pasif menganalisis request dan responds di sub-tab “Live scanning”. Kita juga dapat melakukan ini untuk men-scanning secara aktif, tetapi ini tidak terlalu direkomendasikan.
 +
 +
Saat melakukan scanning aktif, setting yang recommended adalah sebagai berikut.
 +
 +
[[File:10-Active-Scan-Settings.png|center|200px|thumb|Burp Suite Tutorial - Active Scan Settings]]
  
 
==Referensi==
 
==Referensi==

Latest revision as of 08:26, 14 February 2020

Sumber: https://www.pentestgeek.com/web-applications/burp-suite-tutorial-1


Burp Suite dari Portswigger adalah salah satu tool favorit untuk melakukan Web Penetration Test. Berikut adalah langkah-langkah yang bisa dilakukan menggunakan Burp Suite.

Konfigurasi Outbound SOCKS Proxy

NOTE: Burpsuite di Kali 2020.1 tampaknya ini tidak ada.

Bergantung pada scope yang ingin kita lakukan, mungkin perlu untuk mengarahkan traffic Burp Suite agar melalui Outbound SOCKS Proxy. Ini memastikan bahwa traffic pengujian berasal dari lingkungan pengujian yang disetujui. Yang lebih baik adalah menggunakan koneksi SSH sederhana untuk tujuan ini. SSH out ke server pengujian kita dan mengatur Proxy SOCKS di localhost melalui opsi ‘–D’ seperti ini.

ssh –D 9292 –l username servername

Arahkan ke tab Opsi yang terletak di ujung kanan menu paling atas di Burp Suite. Pada sub-tab "Connections", scroll ke bawah ke bagian ketiga berlabel "SOCKS Proxy". Ketik localhost untuk opsi host dan 9292 untuk opsi port.

Burp Suite Tutorial - SOCKS Proxy Settings

Sekarang Burp Suite dikonfigurasi untuk mengarahkan traffic melalui outbound SSH tunnel. Konfigurasikan pengaturan proxy browser kita untuk menggunakan Burp Suite. Arahkan ke www.whatismyip.com dan pastikan alamat IP kita berasal dari lingkungan pengujian kita.

  • Tip Sebaiknya menggunakan browser terpisah untuk pengujian aplikasi web. Ini memastikan anda tidak akan secara sengaja mengirimkan data pribadi ke salah satu situs klien anda seperti kata sandi ke akun gmail misalnya.

Untuk memudahkan akan lebih baik menambahkan addon switching proxy seperti "SwitchySharp" untuk Google Chrome. Ini memungkinkan kita untuk dengan mudah berpindah-pindah antar berbagai konfigurasi proxy yang mungkin kita perlukan untuk engagement yang berbeda. Berikut adalah pengaturan konfigurasi untuk Burp Suite.

Burp Suite Tutorial - SwitchySharp Proxy Settings

Konfigurasi Perilaku Intercept

Hal berikutnya yang perlu kita lakukan adalah mengkonfigurasi fitur proxy intercept. Set hanya untuk pause pada request dan responds ke dan dari situs target saja. Klik menu tab "Proxy" > sub-tab "Options". Heading kedua dan ketiga menampilkan opsi yang dapat dikonfigurasi untuk intercepting request dan respons. Hapus Burp Suite default dan check “URL Is in target scope”. Selanjutnya intercept off karena tidak diperlukan untuk awal walkthrough kita. Di menu "Proxy" > sub-tab “Intercept” pastikan bahwa tombol sakelar tertulis “Intercept is off”

Burp Suite Tutorial - Proxy Intercept Settings

Application Walkthrough

Untuk beberapa alasan, banyak orang suka melewatkan langkah ini. Melewatkan walkthrough sama sekali tidak merekomendasikan. Selama penelusuran awal aplikasi target kita, penting untuk mengklik sebanyak mungkin alamat / situs secara manual. Coba dan tahan keinginan untuk mulai menganalisis berbagai hal di Burp Suite secara langsung. Daripada, habiskan waktu yang baik dan klik pada setiap tautan dan lihat setiap halaman. Sama seperti yang dilakukan pengguna normal. Pikirkan tentang bagaimana situs bekerja atau bagaimana "seharusnya" bekerja.

Anda perlu berfikir akan pertanyaan-pertanyaan berikut:

  • Jenis tindakan apa yang dapat dilakukan oleh seseorang, baik oleh mereka yang terautentikasi maupun yang tidak terauthentikasi?
  • Apakah ada permintaan yang tampaknya diproses oleh pekerjaan di sisi server atau operasi basis data?
  • Apakah ada informasi yang ditampilkan yang dapat saya kontrol

Jika kita menemukan formulir input, pastikan untuk melakukan beberapa kasus uji manual. Masukkan tanda centang tunggal dan tekan send pada formulir pencarian atau field kode pos yang kita temui. Anda mungkin akan terkejut betapa seringnya kerentanan keamanan ditemukan oleh eksplorasi karena curious / keingin tahuan dan bukan oleh scanning otomatis.

Konfigurasi Target Scope Anda

Sekarang setelah kita bisa merasakan bagaimana aplikasi target kita bekerja, waktunya untuk mulai menganalisis beberapa GET dan POST. Namun, sebelum melakukan pengujian apa pun dengan Burp Suite, sebaiknya tentukan lingkup target kita dengan benar. Ini akan memastikan bahwa kita tidak mengirimkan traffic yang berpotensi berbahaya ke situs web yang tidak kita uji.

  • Tip Pastikan anda punya ijin / authorisasi untuk men-test www.target.anda - urusannya denda Rp. 600 juta dan atau penjara.

Klik tab "Target" > sub-tab "Site map". Pilih situs web target kita dari panel tampilan kiri. Klik kanan dan pilih "“Add to scope". Selanjutnya highlight semua situs lain di display pane, klik kanan dan pilih Remove from scope. Jika kita melakukan ini dengan benar, tab Burp Suite scope kita akan terlihat seperti gambar di bawah ini.

Burp Suite Tutorial - Scope Settings

Initial Pilfering

Klik menu "Target" > sub-tab “Site Map”. Scroll ke bawah ke cabang yang sesuai dan perluas semua panah sampai kita mendapatkan gambar lengkap dari situs target kita. Ini harus mencakup semua halaman individual yang kita telusuri serta file javascript dan css. Luangkan waktu sejenak untuk menyerap semua ini, coba dan cari file yang tidak kita kenal dari panduan manual. kita dapat menggunakan Burp Suite untuk melihat respons setiap permintaan dalam sejumlah format berbeda yang terletak di tab "Responds" di panel tampilan kanan bawah. Jelajahi setiap respons mencari hal-hal yang menarik. Hal-hal yang mungkin mengejutkan kita termasuk:

  • Komentar Developer
  • Email address
  • Username & password jika kita cukup beruntung
  • Informasi Path ke file/directory
  • dll

Search Specific Keyword

NOTE: ini hanya bisa dilakukan pada versi Pro :(...

Kita juga dapat memanfaatkan Burp Suite untuk melakukan beberapa pekerjaan berat untuk kita. Klik kanan pada sebuah node, dari sub-menu “Engagement tools” pilih "Search". Salah satu pencarian favorit adalah untuk memindai string "set-cookie". Ini memungkinkan kita mengetahui halaman mana yang cukup menarik untuk membutuhkan cookie yang unik. Cookie biasanya digunakan oleh pengembang aplikasi web untuk membedakan antara permintaan dari beberapa pengguna situs. Ini memastikan bahwa pengguna 'A' tidak bisa melihat informasi milik pengguna 'B'. Untuk alasan ini, merupakan ide bagus untuk mengidentifikasi halaman-halaman ini dan memberikan perhatian khusus kepada mereka.

Burp Suite Tutorial - Search Specific Keywords

Penggunaan Spider dan Discover

NOTE: ini adanya di versi Pro.

Setelah sedikit colek sana colek sini secara manual, biasanya akan lebih baik jika mengijinkan Burp Suite untuk men-spider host. Cukup klik kanan pada cabang root target di sitemap dan pilih "Spider this host".

Burp Suite Tutorial - Spider Feature

Setelah proses spider selesai, kembali ke site-map kita dan lihat apakah kita memperoleh page baru. Jika sudah, lihat secara manual di browser dan juga di dalam Burp Suite untuk melihat apakah ada sesuatu yang menarik. Apakah ada prompt login baru, atau kotak input misalnya? Jika kita masih tidak puas dengan semua yang kita temukan, kita dapat mencoba Burp Suite discovery module. Klik kanan pada cabang root situs target dan dari sub-menu “Engagement tools” pilih “Discover Content”. Di sebagian besar situs, modul ini dapat dan akan berjalan untuk waktu yang lama oleh karenanya sangat di sarankan untuk diawasi operasionalnya. Pastikan dia selesai atau matikan secara manual sebelum berjalan terlalu lama.

Penggunaan Repeater

Tab Repeater adalah salah satu fitur yang paling berguna di Burp Suite. Seorang pentester akan menggunakannya ratusan kali pada setiap aplikasi web yang sedang ujinya. Ini sangat berharga dan juga sangat mudah digunakan. Cukup klik kanan pada permintaan apa pun di tab "Target" atau "Proxy" dan pilih “Send to Repeater”. Selanjutnya klik ke tab "Repeater" dan tekan "Go". Kita akan melihat sesuatu seperti ini.

Burp Suite Tutorial - The Repeater

Di sini kita dapat menggunakan burp suite untuk memanipulasi bagian mana pun dari header permintaan HTTP dan melihat seperti apa responsnya. Disarankan untuk menghabiskan waktu yang baik di sini bermain dengan setiap aspek dari permintaan HTTP. Terutama setiap parameter GET / POST yang dikirim bersamaan dengan permintaan.

Penggunaan Intruder

Jika kita memiliki waktu yang terbatas dan terlalu banyak permintaan dan parameter individual untuk melakukan tes manual menyeluruh. Burp Suite Intruder adalah cara yang hebat dan powerful untuk melakukan automated dan semi-targeted fuzzing. Kita dapat menggunakannya terhadap satu atau lebih parameter dalam permintaan HTTP. Klik kanan pada permintaan apa pun seperti yang kita lakukan sebelumnya dan kali ini pilih “Send to Intruder”. Buka tab "Intruder" dan klik pada tab "Positions". Kita harusnya akan melihat tampilan seperti ini.

Burp Suite Tutorial - Intruder Positions

Sangat disarankan untuk menggunakan tombol "Clear" untuk menghapus apa yang dipilih pada awalnya. Perilaku default adalah untuk menguji semuanya dengan tanda ‘=’.

NOTE: ini hanya bisa jalan di versi Pro.

Highlight parameter yang tidak ingin kita fuzz dan klik "Add". Selanjutnya kita harus pergi ke sub-tab "Payloads" dan memberi tahu Burp Suite kasus uji apa yang harus dilakukan selama menjalankan fuzzing. Yang baik untuk memulai adalah “Fuzzing - full”. ini akan mengirim sejumlah kasus uji dasar ke setiap parameter yang kita sorot pada sub-tab "Positions".

Burp Suite Tutorial - Intruder Payloads

Automated Scanning

NOTE: ini hanya ada di Pro.


Hal terakhir yang kita lakukan ketika menguji aplikasi web adalah melakukan scanning otomatis menggunakan Burp Suite. Kembali ke subtab “Site map” kita, klik kanan pada cabang root dari situs target dan pilih “Passively scan this host”. Ini akan menganalisis setiap request dan respond yang telah kita hasilkan selama sesi Burp Suite kita. Ini akan menghasilkan vulnerability advisor pada subtab "Results" yang terletak pada tab "Scanner". Kita ingin melakukan scanning pasif terlebih dahulu karena tidak mengirim traffic ke server target. Sebagai alternatif, kita dapat mengonfigurasi Burp Suite untuk secara pasif menganalisis request dan responds di sub-tab “Live scanning”. Kita juga dapat melakukan ini untuk men-scanning secara aktif, tetapi ini tidak terlalu direkomendasikan.

Saat melakukan scanning aktif, setting yang recommended adalah sebagai berikut.

Burp Suite Tutorial - Active Scan Settings

Referensi

Pranala Menarik