Dies ist die deutsche Übersetzung der Seite: https://portswigger.net/burp/documentation/desktop/getting-started/download-and-install

Burp bringt Fehler in Webseiten ans Licht. Als Java-basierter Proxy schaltet sich Burp zwischen Browser und Webserver und bietet ein praktisches GUI mit vielen Funktionen.

Mit Burp Proxy können Sie HTTP-Anforderungen und -Antworten abfangen, die zwischen Burps Browser und dem Zielserver gesendet werden. Auf diese Weise können Sie untersuchen, wie sich die Website verhält, wenn Sie verschiedene Aktionen ausführen.

Gehen Sie zur Registerkarte Proxy > Abfangen .
Klicken Sie auf die Schaltfläche „ Abfangen ist aus “, sodass sie zu „ Abfangen ist aktiviert“ wechselt.
Klicken Sie auf Browser öffnen . Dadurch wird Burps Browser gestartet, der so vorkonfiguriert ist, dass er sofort mit Burp funktioniert.
Positionieren Sie die Fenster so, dass Sie sowohl Burp als auch Burps Browser sehen können.



Besuchen Sie mit Burp

https://portswigger.net 

Die Seite wird nicht geladen. Burp Proxy hat die vom Browser ausgegebene HTTP-Anforderung abgefangen, bevor sie den Server erreichen konnte. Sie können diese abgefangene Anfrage auf der Registerkarte

Proxy > Abfangen 

sehen. Die Anfrage wird hier zum Analysieren und ändern gespeichert.

Klicken Sie mehrmals auf die Schaltfläche Weiterleiten, um die abgefangene Anfrage und alle nachfolgenden zu senden, bis die Seite im Burp Browser geladen wird.

Aufgrund der Anzahl von Anfragen, die Browser normalerweise senden, möchten Sie oft nicht jede einzelne von ihnen abfangen. Klicken Sie auf die Schaltfläche Intercept is on, sodass jetzt Intercept is off angezeigt wird.
Gehen Sie zurück zum Browser und bestätigen Sie, dass Sie jetzt wie gewohnt mit der Website interagieren können.

Gehen Sie in Burp zur Registerkarte Proxy > HTTP-Verlauf. Hier können Sie den Verlauf des gesamten HTTP-Verkehrs sehen, der Burp Proxy passiert hat, selbst wenn die Überwachung ausgeschaltet war.

Klicken Sie auf einen beliebigen Eintrag im Verlauf, um die rohe HTTP-Anforderung zusammen mit der entsprechenden Antwort vom Server anzuzeigen.  Auf diese Weise können Sie die Website wie gewohnt erkunden und anschließend die Interaktionen zwischen Burp Browser und dem Server studieren, was in vielen Fällen bequemer ist.

In diesem Tutorial erfahren Sie, wie Sie eine abgefangene Anfrage in Burp Proxy ändern. Auf diese Weise können Sie die Anfrage auf eine Weise manipulieren, die die Website nicht erwartet, um zu sehen, wie sie antwortet. Wenn Sie eine unserer absichtlich anfälligen Websites verwenden, die als „Labs“ bekannt sind, werden Sie sehen, wie Ihnen dies dabei helfen kann, echte

Um mitzumachen, benötigen Sie ein Konto auf portswigger.net. Wenn Sie noch keine haben, ist die Registrierung kostenlos und gewährt Ihnen vollen Zugriff auf die Web-Security Academy Schritt 1: Greifen Sie in Burp Browser auf die gefährdete Website zu Gehen Sie in Burp zur Registerkarte Proxy > Intercept und vergewissern Sie sich, dass die Interception ausgeschaltet ist.

Starten Sie den Browser von Burp und verwenden Sie ihn, um die folgende URL aufzurufen:

https://portswigger.net/web-security/logic-flaws/examples/lab-logic-flaws-excessive-trust-in-client-side-controls

Wenn die Seite geladen wird, klicken Sie auf Auf das Lab zugreifen. Wenn Sie dazu aufgefordert werden, melden Sie sich bei Ihrem portswigger.net-Konto an. Nach ein paar Sekunden sehen Sie Ihre eigene Instanz einer gefälschten Shopping-Website.

Klicken Sie auf der Shopping-Website auf Mein Konto und melden Sie sich mit den folgenden Anmeldeinformationen an:

Nutzername:wiener
Passwort:peter

Beachten Sie, dass Sie nur ein Guthaben von 100 $ haben.

Klicken Sie auf Startseite, um zur Startseite zurückzukehren. Wählen Sie die Option, um die Produktdetails für die leichte Lederjacke „l33t“ anzuzeigen.

Gehen Sie in Burp zur Registerkarte Proxy > Intercept und schalten Sie Interception ein. Fügen Sie im Browser die Lederjacke Ihrem Warenkorb hinzu, um die resultierende POST /cartAnfrage abzufangen.

Möglicherweise sehen Sie zunächst eine andere Anfrage auf der Registerkarte Proxy > Abfangen, wenn der Browser im Hintergrund etwas anderes tut. Klicken Sie in diesem Fall einfach auf Weiter, bis Sie die POST /cartAnfrage sehen, wie im Screenshot oben gezeigt. Untersuchen Sie die abgefangene Anfrage und stellen Sie fest, dass der Body einen Parameter namens enthält price, der dem Preis des Artikels in Cent entspricht.

Ändern Sie den Wert des priceParameters auf 1 und klicken Sie auf Weiter, um die geänderte Anfrage an den Server zu senden. Schalten Sie das Abfangen wieder aus, damit alle nachfolgenden Anfragen Burp Proxy ununterbrochen passieren können.

Klicken Sie in Burp Browser auf das Warenkorb-Symbol in der oberen rechten Ecke, um Ihren Warenkorb anzuzeigen. Beachten Sie, dass die Jacke für nur einen Cent hinzugefügt wurde. Es gibt keine Möglichkeit, den Preis über die Weboberfläche zu ändern. Diese Änderung konnten Sie nur dank Burp Proxy vornehmen. Klicken Sie auf die Schaltfläche Bestellung aufgeben, um die Jacke zu einem äußerst günstigen Preis zu erwerben.

Herzlichen Glückwunsch, Sie haben auch gerade Ihre erste Übung gelöst! Sie haben auch gelernt, wie Sie HTTP-Verkehr mit Burp Proxy abfangen, überprüfen und manipulieren.

Die häufigste Art, Burp Repeater zu verwenden, besteht darin, ihm eine Anfrage von einem anderen Tool von Burp zu senden. In diesem Beispiel senden wir eine Anfrage aus dem HTTP-Verlauf in Burp Proxy.

Starten Sie den Browser von Burp und verwenden Sie ihn, um die folgende URL aufzurufen:

https://portswigger.net/web-security/information-disclosure/exploiting/lab-infoleak-in-error-messages

Wenn die Seite geladen wird, klicken Sie auf das Lab zugreifen. Wenn Sie dazu aufgefordert werden, melden Sie sich bei Ihrem portswigger.net-Konto an. Nach ein paar Sekunden sehen Sie Ihre eigene Instanz einer gefälschten Shopping-Website.

Gehen Sie in Burp zur Registerkarte Proxy > HTTP-Verlauf. Klicken Sie zur besseren Lesbarkeit so oft auf die Überschrift der Spalte ganz links ( # ), bis die Anfragen in absteigender Reihenfolge sortiert sind. Auf diese Weise können Sie die neuesten Anfragen ganz oben sehen.

Beachten Sie, dass der Browser jedes Mal, wenn Sie auf eine Produktseite zugreifen, eine GET /productAnfrage mit einem productIdAbfrageparameter sendet. Lassen Sie uns Burp Repeater verwenden, um dieses Verhalten genauer zu betrachten.

Klicken Sie mit der rechten Maustaste auf eine der GET /product?productId=[…]Anfragen und wählen Sie An Repeater senden aus.

Gehen Sie zur Registerkarte Repeater , um zu sehen, dass Ihre Anfrage in einer eigenen nummerierten Registerkarte auf Sie wartet.

Klicken Sie auf Senden , um die Anforderung zu senden und die Antwort vom Server anzuzeigen. Sie können diese Anfrage beliebig oft erneut senden und die Antwort wird jedes Mal aktualisiert.

Indem Sie dieselbe Anfrage jedes Mal mit unterschiedlichen Eingaben erneut senden, können Sie eine Vielzahl von eingabebasierten Schwachstellen identifizieren und bestätigen. Dies ist eine der häufigsten Aufgaben, die Sie beim manuellen Testen mit Burp Suite durchführen werden.

Ändern Sie die Nummer im productIdParameter und senden Sie die Anfrage erneut. Versuchen Sie dies mit ein paar willkürlichen Zahlen, einschließlich einiger größerer.

Verwenden Sie die Pfeile, um im Verlauf der von Ihnen gesendeten Anfragen vor und zurück zu gehen, zusammen mit den passenden Antworten. Über das Dropdown-Menü neben jedem Pfeil können Sie auch zu einer bestimmten Anfrage im Verlauf springen. Dies ist nützlich, um zu früheren Anfragen zurückzukehren, die Sie gesendet haben, um eine bestimmte Eingabe weiter zu untersuchen.

Vergleichen Sie den Inhalt der Antworten und beachten Sie, dass Sie verschiedene Produktseiten erfolgreich anfordern können, indem Sie ihre ID eingeben, aber eine Not Found-Antwort erhalten, wenn der Server kein Produkt mit der angegebenen ID finden konnte. Nachdem wir nun wissen, wie diese Seite funktionieren soll, können wir Burp Repeater verwenden, um zu sehen, wie sie auf unerwartete Eingaben reagiert.

Der Server erwartet anscheinend, über diesen productIdParameter einen ganzzahligen Wert zu erhalten. Mal sehen, was passiert, wenn wir einen anderen Datentyp senden.

Senden Sie eine weitere Anfrage, bei der productIdes sich um eine Zeichenfolge handelt.

Beachten Sie, dass das Senden einer Nicht-Ganzzahl productIdeine Ausnahme verursacht hat. Der Server hat eine ausführliche Fehlerantwort mit einem Stack-Trace gesendet. Beachten Sie, dass die Antwort Ihnen mitteilt, dass die Website das Apache Struts-Framework verwendet – es zeigt sogar an, welche Version. In einem realen Szenario könnte diese Art von Informationen für einen Angreifer nützlich sein, insbesondere wenn bekannt ist, dass die benannte Version zusätzliche Schwachstellen enthält.

Gehen Sie in Burps Browser zurück zum Labor und klicken Sie auf die Schaltfläche Lösung senden . Geben Sie die Versionsnummer von Apache Struts ein, die Sie in der Antwort gefunden haben

Burp Scanner kann sowohl als vollautomatischer Scanner als auch als leistungsstarkes Mittel zur Erweiterung Ihres manuellen Testablaufs verwendet werden. Die Liste der Schwachstellen, die Burp Scanner erkennen kann, wächst ständig. Wir arbeiten eng mit unserem erstklassigen Forschungsteam zusammen, um sicherzustellen, dass es mit den neuesten Techniken auf dem Laufenden bleibt, um sowohl klassische Fehler als auch neu entdeckte Schwachstellen zu finden.

Das Scannen einer Website umfasst zwei Phasen:

• Crawling nach Inhalt und Funktionalität: Burp Scanner navigiert zunächst um die Zielseite herum und spiegelt dabei das Verhalten echter Benutzer genau wider. Es katalogisiert die Struktur und den Inhalt der Website sowie die Pfade, die zum Navigieren verwendet werden, um eine umfassende Karte der Website zu erstellen.
• Prüfung auf Schwachstellen: Die Prüfungsphase eines Scans umfasst die Analyse des Verhaltens der Website, um Sicherheitslücken und andere Probleme zu identifizieren. Burp Scanner verwendet eine breite Palette von Techniken, um eine genaue Prüfung des Ziels mit hoher Abdeckung zu ermöglichen.

In diesem Abschnitt erfahren Sie, wie Sie Ihren ersten automatisierten Schwachstellenscan starten.

Wechseln Sie zur Registerkarte Dashboard und wählen Sie Neuer Scan aus.

Das Dialogfeld Scan-Launcher wird geöffnet. Hier können Sie verschiedene Einstellungen vornehmen, um das Verhalten des Burp-Scanners zu steuern.

Geben Sie im Feld Zu scannende URL

sportswigger-labs.net 

Belassen Sie alle anderen Einstellungen vorerst auf ihren Standardeinstellungen.

Die Verwendung des Burp-Scanners kann unerwartete Auswirkungen auf einige Anwendungen haben. Bis Sie mit seinen Funktionen und Einstellungen vollständig vertraut sind, sollten Sie Burp Scanner nur für Nicht-Produktionssysteme verwenden. Führen Sie keine Scans auf Websites von Drittanbietern durch, es sei denn, Sie wurden vom Eigentümer dazu autorisiert.

Klicken Sie auf OK , um den Scan zu starten. Burp Scanner beginnt mit dem Crawlen von der URL, die Sie im vorherigen Schritt eingegeben haben.

Beachten Sie, dass dem Dashboard eine neue Aufgabe hinzugefügt wurde, um diesen Scan darzustellen. Hier werden einige wichtige Informationen angezeigt, z. B. die Phase des Scans, die gerade ausgeführt wird, wie viele Anfragen gesendet wurden und so weiter.

Gehen Sie zur Registerkarte Ziel > Sitemap und beachten Sie den neuen Eintrag für portswigger-labs.net. Erweitern Sie diesen Knoten, um alle Inhalte anzuzeigen, die der Crawler bisher entdeckt hat. Wenn Sie einige Sekunden warten, sehen Sie, wie die Karte in Echtzeit aktualisiert wird.

Überwachen Sie den Status des Scans im Dashboard. Nach ein oder zwei Minuten ist der Crawl beendet und Burp Scanner beginnt mit der Prüfung auf Schwachstellen. Wenn Probleme gefunden werden, werden diese im Bereich „Problemaktivität“ auf der Registerkarte „ Dashboard “ angezeigt.

Wenn Sie ein Problem auswählen, wird eine Registerkarte „ Beratung “ angezeigt, die wichtige Informationen zum Problemtyp enthält, einschließlich einer detaillierten Beschreibung und einiger Lösungsvorschläge. Daneben befinden sich mehrere Registerkarten, die Beweise liefern, die Burp Scanner für dieses Problem gefunden hat. Dies ist in der Regel eine Anforderung und Antwort , unterscheidet sich jedoch je nach Problemtyp.

In diesem Abschnitt erfahren Sie, wie Sie einen Bericht basierend auf Ihren Scan-Ergebnissen erstellen.

Gehen Sie zur Registerkarte Ziel > Sitemap, klicken Sie mit der rechten Maustaste auf den Eintrag für https://portswigger-labs.netund wählen Sie Probleme > Probleme für diesen Host melden aus .

Ein Assistent führt Sie durch verschiedene Optionen, z. B. welches Dateiformat verwendet werden soll, wie viele Details enthalten sein sollen und so weiter. Klicken Sie zunächst einfach auf Weiter , um die Standardeinstellungen zu akzeptieren, bis Sie aufgefordert werden, einen Dateinamen und einen Speicherort für den Bericht einzugeben.

Klicken Sie auf Datei auswählen und wählen Sie einen Ort aus, an dem Sie den Bericht speichern möchten. Geben Sie einen Namen für die Datei ein.
Sie müssen die entsprechende Dateierweiterung angeben, in diesem Fall .html.

Klicken Sie auf Speichern und dann auf Weiter , um den Bericht zu erstellen.

Öffnen Sie den Bericht in Burps Browser, um zu sehen, was er enthält. Dies ist nützlich, um die Ergebnisse Ihrer Scans an Kollegen oder Kunden weiterzugeben.

Siehe:

• Burp suite Tutorial
• Linux Magazin: Burp
• Learn the basics of burpsuite. Start using Burp with web applications. David Bombal