Kiểm tra thâm nhập ứng dụng Web bằng BurpSuite - Phần 1
Hướng dẫn về cách bắt đầu và / hoặc tăng tốc độ thử nghiệm thâm nhập ứng dụng web bằng công cụ BurpSuite .
Vì đây là một vấn đề cần hết sức tập trung nên tôi sẽ vào thẳng vấn đề chính.
Tổng quát về BurpSuite :
BurpSuite là một trong tất cả trong một công cụ để thử nghiệm thâm nhập ứng dụng web được tạo ra bởi Dafydd Stuttard theo bí danh Portswigger. . BurpSuite có chứa các công cụ sau :
1. Máy chủ Proxy ( Được sử dụng trong việc phân tích yêu cầu / phản hồi )
2. Trình tạo mật khẩu
3. Brute Forcer
4. Web Spider
5. Bộ công cụ giải mã
Phần bắt đầu :
Các bước đơn giản là:
1. Chọn một trình duyệt (Ở đây tôi chọn Mozilla Firefox - vì tốc độ của FireFox khá nhanh và còn được hỗ trợ các Add-on )
2. Chọn localhost (127.0.0.1) : 8080 làm proxy trong trình duyệt mà bạn đã chọn. ( Mozilla FireFox đối với tôi )
3. Fire Up Burpsuite và cấu hình proxy trong cửa sổ Options tại mục Proxy .
4. Bạn đã hoàn thành!
1. Chọn một trình duyệt (Ở đây tôi chọn Mozilla Firefox - vì tốc độ của FireFox khá nhanh và còn được hỗ trợ các Add-on )
2. Chọn localhost (127.0.0.1) : 8080 làm proxy trong trình duyệt mà bạn đã chọn. ( Mozilla FireFox đối với tôi )
3. Fire Up Burpsuite và cấu hình proxy trong cửa sổ Options tại mục Proxy .
4. Bạn đã hoàn thành!
Một số điều cần biết về HTTP ( Theo Internet )
HTTP là chữ viết tắt của HyperText Transfer Protocol (giao thức truyền tải siêu văn bản). Đây là một giao thức ứng dụng trong bộ các giao thức TCP/IP (gồm một nhóm các giao thức nền tảng cho internet). HTTP hoạt động dựa trên mô hình Client – Server.
Một yêu cầu điển hình / đáp ứng có hai phần
1. Phần đầu
2. Phần nội dung
1. Phần đầu
2. Phần nội dung
Phần đầu chứa các cặp giá trị tên khác nhau và một số tiêu đề xác định nhiều thông số liên lạc. Các loại tiêu đề trong yêu cầu / phản hồi là một chủ đề rộng lớn nê tôi sẽ nói đến trong các bài viết nâng cao sắp tới. Hiện tại, thì thông tin này tạm thời là đã đủ .
Vậy điều đầu tiên chúng ta cần làm là gì ?
Spidering là việc đầu tiên cần được thực hiện theo khuyến cáo của nhiều Pentesters. Lý do là bạn sẽ cần liệt kê các dịch vụ web trước khi bạn có thể đưa ra một kế hoạch đúng đắn để tấn công các thành phần của họ. Spider Man các ứng dụng web để cung cấp cho bạn một hình ảnh rõ ràng về cấu trúc của ứng dụng web. Đó là một kỹ năng để học hỏi với thực hành.
<< Còn nữa >>
Cảm ơn các bạn đã theo dõi !!!
0 nhận xét:
Đăng nhận xét