Jest to druga część naszego krótkiego szkolenia z narzędzia Burp Suite Community, które udostępniamy w sieci. Jeżeli preferujesz je w formie videotutoriala, tę i inne części znajdziesz na naszym kanale na Youtube.
Część I: Wersja tekstowa Youtube
Część II: Wersja tekstowa Youtube
Artykuł ten odpowiada drugiej części szkolenia, natomiast pozostałe 4 części zostaną opublikowane w najbliższych tygodniach.
Pierwsze uruchomienie – setup
Po instalacji, która została opisana w pierwszej części tu i tu, czas na pierwsze uruchomienie programu. W przypadku Windows’a znajdziesz Burp’a w Menu Start, w Kali Linux program jest już zainstalowany w domyślnej wersji systemu. W przypadku innej dystrybucji Linuxa w razie potrzeby możesz przeszukać dysk korzystając z funkcji commandline aby znaleźć plik wykonywalny Burp’a:
find / -name „burpsuite” 2>/dev/null
Podczas pierwszego uruchomienia zostaniesz jednorazowo zapytany o zgodę na wysyłanie do Portswigger’a telemetrii. Jeżeli nie chcesz tego, odznacz okienko i przejdź dalej.
Jak połączyć Burp’a z przeglądarką?
Burp Suite z perspektywy sieci znajdować się będzie między Twoją przeglądarką a światem. Oznacza to, że wszystkie akcje wykonane w przeglądarce przejdą przez niego – będzie on tzw. serwerem proxy czyli po polsku – serwerem pośredniczącym. Przejdziemy przez ten proces na przykładzie przeglądarki Firefox. Burp Suite na początku nasłuchuje jako serwer proxy na porcie 8080 na interfejsie lokalnym (loopback). Jeżeli nie do końca wiesz jak działają porty i interfejsy, to możesz tę informację zignorować, ponieważ domyślne ustawienia i tak zadziałają.
- Uruchamiamy Burp Suite Community, otrzymujemy taki ekran:
- Włączamy Firefox’a. Możesz skorzystać z innej przeglądarki, chociaż w następnym punkcie wyjaśnimy, czemu akurat Firefox. Klikamy w menu (zaznaczony przycisk poniżej) a w nim wybieramy Opcje lub w wersji angielskiej Preferences.
- W wyszukiwarce u góry strony wpisujemy „Proxy”
- Pełna konfiguracja powinna wyglądać jak na poniższym zrzucie ekranu.
- Wybieramy OK. Proxy jest podłączone.
Jaka przeglądarka jest najlepsza dla Burp’a?
W tym przypadku korzystamy z Firefox’a, ponieważ umożliwia on zastosowanie proxy tylko do przeglądarki. W przypadku np. IE lub Chrome ustawienie proxy stosowane jest do całego systemu (w przypadku Windowsa), w związku z czym przez naszego burpa przechodzi mnóstwo niechcianego ruchu sieciowego – w tym składniki systemu czy nasze działania na przeglądarce, co pokazane jest poniżej:
Minusem korzystania z Firefox’a jest jego tzw. telemetria, ale zaraz opiszemy jak ją (przynajmniej częściowo) wyłączyć. Nawet jeżeli jej nie wyłączymy, ilość niepożądanego ruchu sieciowego jest znacznie mniejsza.
Intercepting Requests
Spróbujmy teraz przejść na jakąś stronę internetową np. http://example.com. Strona nie będzie się ładować, ponieważ przy starcie Burp uruchamia funkcję Intercept, czyli przechwytywania. Przejdźmy teraz do Burpa, w razie czego kliknijmy w podświetloną zakładkę Proxy a następnie sub-zakładkę Intercept.
Po kliknięciu w niebieski przycisk strona zacznie się ładować. Ale dlaczego nie widzimy tu example.com tylko jakąś dziwną stronę Mozilli?
Eliminacja telemetrii Firefox’a
To, co widzimy w zakładce intercept to jedna z wielu funkcji telemetrii Firefoxa – różnego rodzaju automatycznych aktualizacji, wysyłania statystyk użycia itp. Możemy z telemetrią żyć, ale czasami może zanieczyszczać nam historię ruchu sieciowego. Aby ją wyłączyć, możemy:
- skopiować, pod jaki adres jest kierowana (wartość Host – tutaj jest to content-signature-2.cdn.mozilla.net)
- Przejść w firefoxie pod adres about:config i kliknąć „wyświetl wszystko”
-
- W wyszukiwarkę wkleić zawartość nagłówka Host a następnie kliknąć w „plusik” w prawej części wyników wyszukiwania:
-
- Następnie klikamy na strzałkę, aby zmienić wartość
-
- Restartujemy przeglądarkę
- UWAGA! Tego typu wpisów telemetrii jest dość sporo, i nie jest dokładnie określone, do czego służą. Walka z nimi może być uciążliwa, a po aktualizacji przeglądarki problem może wracać. Nie jest to więc metoda w 100% skuteczna.
Instalacja certyfikatu SSL – jak i po co
Kiedy Burp będzie znajdował się między naszą przeglądarką a stronami WWW, będzie on działał w pozycji „Man in The Middle”, czyli nawet łącząc się ze stronami połączeniem szyfrowanym (SSL/TLS) chcielibyśmy, aby ruch sieciowy było widać w Burpie. Aby umożliwić to Burpowi, musimy zaimportować do przeglądarki jego cerytfikat SSL, w przeciwnym wypadku możemy mieć problem z połączeniem z niektórymi stronami.
- Kiedy Burp jest podłączony do przeglądarki przechodzimy pod adres http://burp (W tej przeglądarce połączonej z nim, my korzystamy dalej z Firefoxa)
- W pracym górnym rogu klikamy w „CA Certificate” i pobieramy plik certyfikatu.
- Przechodzimy teraz do Opcji i wyszukujemy ustawienia „certyfikatu”
- Klikamy „wyświetl certyfikaty” a następnie „Importuj”
- Wyszukujemy pobrany plik cacert i klikamy „otwórz”
- Zaznaczamy checkboxy (w zasadzie wystarczy tylko pierwszy) i klikamy OK i jeszcze raz OK.
- Restartujemy przeglądarkę.
Burp Suite Community jest gotowy do działania! W następnej części przyjrzymy się kolejnym funkcjom tego programu. Pojawią się one zarówno w formie video jak i artykułu na blogu.