9.利用BurpSuite进行漏洞扫描及分析
9.利用BurpSuite进行漏洞扫描及分析
BurpSuite 是用于测试Web 应用程序安全的集成平台,它包含了许多工具,这些工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起安全威胁。BurpSuite设计了许多扩展接口,可加快威胁应用程序的过程。通过burpsuite进行漏洞扫描能帮助我们快速完成安全验证测试,Burpsuite支持多种漏洞扫描,并且自带验证工具,对于完成安全验证测试,提高安全验证测试效率,有极大的帮助。BurpSuite除了扫描外还可以进行抓包重放安全危害等,在业界SQLMAP+Burpsuite誉为最好用的安全验证测试组合神器,在很多安全公司招聘中,能否熟练使用BurpSuite进行安全验证测试作为考核指标之一,因此掌握BurpSuite基本功能非常必要。
9.1Burpsuite 安装
Burpsuite 安装非常简单,需要安装好Java支持环境,即可像运行Windows下的可执行程序一样来运行。JAVA程序的下载地址为:https://www.java.com/zh_CN/download/win10.jsp
1.免费Burpsuite版本
Burpsuite 免费版中只包含基本手工工具。收费版中才包含高级手工工具以及Web漏洞扫描器,免费版下载地址: https://portswigger.net/burp/ ,网上有破解版本。
2.破解Burpsuite版本
Burpsuite 破解版中包含所有收费版的功能,以已破解版的为例进行burpsuite的安装。
(1)BurpHelper.jar 为破解补丁
(2)burpsuite_pro_v1.7.30.jar 为burpsuite 收费版的程序
(3)安装需要在安装好Java后,打开BurpHelper.jar,如图1所示,在“BurpSuite Jar”单击“S”按钮,选择burpsuite_pro_v1.7.30.jar文件。
图1选择需要进行破解的burpsuite jar文件
(4)点击“Run”后,会出来一个“BurpHelper by larry_lau”窗口,单击“I Accept”,如图3所示,接受声明,另外还有一些BurpSuite破解程序提供程序注册功能。
图2接受声明
(5)设置临时项目
如图3所示,可以选择一个项目文件,也可以选择临时项目(Temporary Project),单击“Next”继续后续设置,程序默认选项为“Temporary Project”。
图3设置临时项目文件
(6)BurpSuite选项设置
如图4所示,一般使用默认Burp设置(Use Burp defaults),也可以自定义配置文件,设置完毕后,单击“Start Burp”启动BurpSuite程序。
图4启动BurpSutie
(7)启用扩展,在BurpSuite中还提供了丰富的扩展程序供安装使用,读者可以自行查找相关资料进行学习使用。
9.2burpsuite扫描前设置
1.设置浏览器代理
(1)火狐浏览器设置代理
如图5所示打开火狐浏览器->“选项”->“高级”->“网络”,打开连接设置窗口;在新版本的FireFox其设置可能稍微有些不同,其顺序依次为“常规”-“网络代理”-设置。
图5打开网络代理设置
在连接设置中单击“配置访问国际互联网的代理”-> “手动配置代理”->“HTTP代理”,在其中输入IP地址“127.0.0.1”和端口“8080”,并选中“为所有协议使用相同代理(S)”,如图6所示,IE浏览器设置方法跟Firefox类似。
图6设置代理IP地址及端口
2.设置burpsuite
(1)设置放行或者拦截
在burpsuite程序主窗口,单击“Proxy”-“Intercept”-“Intercept is off”,单击按钮“Intercept is off”可以进行切换为“Intercept is On”,On代表进行拦截,Off表示不拦截自动放行,“Forward”表示向前,也即允许通过,“Drop”表示丢弃,如图7所示。
图7设置放行或者拦截
(2)查看代理设置
如图8所示,打开“burpsuite”->“Proxy”->“Options”,如果Interface中的地址为127.0.0.1:8080,则表示代理设置成功,否则需要添加代理地址到其中。
图 8查看代理设置
9.3配置及扫描目标站点
1.选择扫描目标
使用火狐浏览器访问网站 http://testphp.vulnweb.com/ ,在burpsuite找到“Site map”中“ http://testphp.vulnweb.com/ ”,如图9所示。
图 9选择扫描目标
2.配置burpsuite爬取目标
选中扫描的URL地址后,例如本例中选择 http://testphp.vulnweb.com/ ,右键单击,在菜单中选择“Spider this host”,对目标站点爬取,如图10所示。在爬取过程中如果存在登录验证,需要用户确认是否输入密码进行登录测试,如图11所示,爬取过程会动态显示数据包等情况,由于burpsuite会爬取所有的链接地址和资源,因此爬取过程会比较长,相当耗费时间。
图10爬取主机地址
图11爬取网站情况
3.对目标站点进行扫描
(1)设置扫描目标
使用burpsuite进行漏洞扫描,如图12所示,选择“Actively scan this host”,burpsuite会利用其自带规则对目标进行扫描。
图12扫描目标主机
(2)配置扫描选项
在扫描向导中,如图13所示,有六个选项进行设置,可以移除相同的条目,移除已经扫描的条目,移除没有参数的条目,移除媒体响应条目,移除自定义扩展(js,gif,jpg,png,css)条目,可以根据实际情况进行设置。
图13设置扫描条目
(3)设置扫描的详细条目
如图14所示,可以对扫描的选项进行移除,或者后退进行选择设置,单击“OK”,开始对这些条目(URL地址)进行漏洞测试。
图14设置扫描的条目
9.4扫描结果分析
1.扫描结果查看
如图15所示,扫描结束后,能够通过界面查看扫描器的结果以及详情,“Issues”为扫描报告内容,“Contents”为扫描的URL地址。
图15查看扫描结果
2.扫描结果利用分析
(1)查看playload
通过查看扫描结果,发现目标站点存在XSS、SQL等漏洞,如图16所示,例如选择一个SQL注入, 查看“Request”,看到burpsuite使用的payload为“listproducts.php?artist=1'”,跟手工注册测试过程和方法一样。
图16查看playload
(2)查看网页响应情况
如图17所示,单击“Response”可以看到响应中存在MySQL的报错信息,burpsuite 使用的payload导致MYSQL数据库报错,在该报错信息中还获取了网站的真实路径地址。
图17查看网页响应情况
(3)漏洞判断
根据SQL 注入原理:几乎任何数据源都能成为注入载体,包括环境变量、所有类型的用户、参数、外部和内部Web服务。当安全威胁者可以向解释器发送恶意数据时,注入漏洞产生,能够判断出的目标站点存在SQL注入漏洞。
3.高危漏洞测试方法分析
(1)测试XSS漏洞
查看扫描结果发现存在XSS漏洞,如图18所示,看到burpsuite使用的payload为
name=anonymous%20userfop4c%3cscript%3ealert(1)%3c%2fscript%3eykrjd
图18测试XSS的payload
(2)XSS测试效果
在“Response”中可以看到payload的测试结果,如图19所示。
图19跨站测试结果
(3)发送到浏览器中进行测试
如图20所示在“Response ”右键点击,选择“Show response in borwser”。将响应在浏览器中进行测试。
图20发送响应到浏览器中进行测试
(4)浏览器验证测试结果
如图21所示将URL复制到火狐浏览器中打开,成功验证XSS漏洞。
图21在浏览器中验证测试结果
4.其它漏洞测试
(1)sql注入漏洞测试
对于存在的sql注入漏洞,可以直接将地址复制到sqlmap中进行注入测试,也可以将包文件保存为r.txt,然后使用sqlmap.py -r r.txt --batch进行注入漏洞测试。
(2)其它漏洞测试
可以根据burpsuite扫描提示信息,使用对应的方法或者工具来对漏洞进行测试和复现,本文主要介绍burpsuite进行漏洞扫描的方法。
9.5burpsuite扫描总结及防范方法
1. burpsuite扫描总结
(1)burpsuite扫描耗费时间比较长,需要先进行爬取,然后再进行漏洞测试。
(2)对某些漏洞可以直接进行测试,在其响应中可以查看详细情况,其payload可以在浏览器中进行确认测试。
(3)burpsuite扫描是漏洞扫描知识理论体系的一个补充,在某些情况下,其漏洞扫描效果不错。
安全防范方法
(1)使用安全狗,对于所有的安全威胁行为发现单次阻断该IP访问。
(2)限制单IP访问会话总量,以及新建会话频率,超过一定程度进行阻断。
(3)使用各个厂商的WAF,开启防扫描功能。
(4)对日志进行分析,发现漏洞及时修复漏洞。
参考文章
http://www.freebuf.com/sectool/141435.html
https://blog.csdn.net/u011781521/article/details/54561341
https://bbs.ichunqiu.com/thread-16260-1-1.html
https://www.cnblogs.com/xishaonian/p/6239385.html