Z poprzednich części wiemy już jak zainstalować i skonfigurować Burp Suite Community oraz jak przebiega podglądanie i filtrowanie ruchu HTTP w narzędziu Proxy. Ta krótka część jest rozszerzeniem części trzeciej – i opisuje jak działa i w jaki sposób używać narzędzia Target, a dokładniej modułu Sitemap.

Materiał dostępny jest w formie poniższego video, a dalej zamieszczamy także jego skrót w formie tekstowej.

Burp Target

Dzięki zakładce Target możemy podejrzeć zawartość strony bez przeglądania jej. Burp Suite automatycznie mapuje stronę poprzez śledzenie zawartych np. w kodzie HTML odnośników. Korzystając z przeglądarki połączonej z Burpem, przejdźmy na stronę np. www.tesla.com (Tesla prowadzi otwarty program Bug Bounty, więc tego typu strony idealnie nadają się na „próby hakowania” i jest to w pełni legalne, jeśli przestrzegamy zasad programu Bug Bounty)

Zaraz po odwiedzeniu strony głównej przechodzimy do Burpa do zakładki Target, a dalej do Sitemap

Widzimy, że pomimo tego, że nawet nie zaczęliśmy przeglądać strony, wiele podstron i odnośników zostało automatycznie zmapowanych. Ponadto, do zakładki Sitemap odnosi się również opcja Filtrowania, zaprezentowana w części trzeciej szkolenia – możemy np. wykluczyć z zakładki Sitemap wszystko, co nie należy do naszego zakresu testu (Scope). Ponadto możemy stosować wszystkie inne filtry (np. po kodzie odpowiedzi, rozszerzeniu itp.), a także usuwać elementy z listy.