Analizzare un sito con Burp Suite

Tempo di lettura: 6 minuti
Data pubblicazione: April 2, 2016

Burp Suite è un software che permette di scansionare e penetrare un sito internet. La versione Free si può trovare preinstallata in Kali oppure si può scaricare dal sito ufficiale, mentre quella Pro costa (la bellezza) di 329 euro all’anno (si trova online la crack della versione 1.5 Pro, un pò datata ma comunque funzionale).  In questo articolo andrà ad analizzare la principali funzioni testandole su Mutillidae.

Configurare il browser

Per prima cosa bisogna configurare il proprio browser e, poiché Burp è un Proxy Server, tramite passano tutte le richieste al sito prescelto. Per chi utilizza Firefox andate in Opzioni–>Avanzate–>Rete–>Impostazioni di rete; qui bisogna impostare come Http proxy: 127.0.0.1 e come porta: 8080 (QUI è presente una guida passo passo per ogni browser). Ecco come ho impostato io:

Conclusa la configurazione il browser non si connetterà più direttamente ai siti ma tutte le richieste passeranno tramite Burp. Se provate ad aprire qualsiasi pagina web, Burp si aprirà chiedendovi cosa volete fare.

Spidering dell’obbiettivo

La prima fase è quello di analizzare tutte le pagine internet del sito prescelto. Per fare ciò, dopo aver aperto la pagina del sito (che non si aprirà nel browser, ci sarà la pagina che continua a caricare a vuoto) andate su Burp, e ci sarà una schermata simile a questa:

Cliccate su “Action->Send to spider” e il software inizierà a analizzare il sito per intero, richiedendo tutte le pagine web disponibili.

Attenzione: fare richieste GET ai siti non è di per sè illegale, ma cercare di violare un sito si. Perciò, per prima cosa non mi reputo responsabile di qualsiasi cosa possiate combinare con il software, per secondo fatevi furbi, in linux:

sudo service tor start

andate nelle opzioni di Burp e selezionate come SOCKS proxy host: 127.0.0.1 e come porta: 9050. In questo modo ogni vostra richiesta all’obbiettivo non verrà dal vostro indirizzo IP ma passerà per prima dalla rete TOR.

Finito di analizzare il sito, ho ora sottomano tutte le pagine web dell’obbiettivo, ma cosa ci posso fare?

Intruder

L’Intruder permette di effettuare molteplici tentativi di intrusione nel sito, partendo dal bruteforcing fino all’SQL Injection.

Dopo aver trovato la pagina che fa per me, come questa

con il tasto destro del mouse, clicco su “Send to Intruder” e imposto il mio attacco.

Nel sezione Intruder ci sono diversi comandi, tra i quali:

  1. Attack Type: è il tipo di attacco che posso fare, si divide in
    • Sniper: testa un parametro alla volta (utilizzabile se si conosce l’username ma non la password, ad esempio);
    • Battering ram: tutti i parametri sono utilizzati con la medesima parola contemporaneamente;
    • Pitchfork: ogni parametro è testato con il payload di riferimento;
    • Cluster Bomb: combinazione di payload e parametri, bruteforce ideale se non si conosce ne username ne password.
  2. Parametri: tramite i bottoni a destra imposto i paramteri, nel mio caso
  3. Payloads: sono la parole o stringhe da utilizzare per l’attacco, su github è presente una raccolta di tutte le stringhe per ogni attacco.

Dopo aver selezionato le liste di parole da utilizzare, faccio partire l’attacco.

Questo è solo un esempio di come possa essere usato, per chiunque vuole approfondire sono disponibili i video forniti da Mutillidae. Spero di essere stato più chiaro possibile nell’introdurre questo ottimo software, se non è chiaro qualcosa basta che lo segnaliate.