Burp Suite

Burp Suite est une plateforme complète permettant d’effectuer des tests de sécurité sur des applications Web. Pour faire simple, vous faites passer toutes les requêtes Web par Burp afin de pouvoir les analyser/modifier et les rejouer à votre guise. Grâce à cette capture, il devient assez simple d’approfondir la recherche de vulnérabilités Web de types XSS, CSRF, manipulation d’entêtes, etc… L’outil accepte de combiner des techniques dites manuelles avec des procédés automatiques, dans le but de rendre votre travail plus rapide, plus efficace et plus pertinent.

La suite incorpore les composants suivants :

  • Un proxy local (en mode interception) qui va permettre d’inspecter et modifier le trafic entre votre navigateur (firefox, chrome, Opéra, etc.) et l’application cible.
  • Un scanner d’applications Web performant.
  • Un outil permettant de récupérer les champs d’une page Web dans le but de pouvoir modifier certains paramètres automatiquement (spider/crawler)
  • Un outil d’intrusion (intruder), pour effectuer des attaques spécifiques afin de trouver et d’exploiter des vulnérabilités.
  • Un outil de répétition (repeater), permettant la modification avant l’envoie de vos requêtes.
  • Un séquenceur (sequencer), pour tester la randomisation des sessions avec jetons (token).
  • La possibilité d’arrêter et de reprendre le travail ultérieurement.

Burp est simple et intuitif, ce qui permet aux nouveaux utilisateurs de débuter avec l’outil rapidement.

L’avantage principal de Burp réside dans la possibilité de configuration multiple, mais également dans ses nombreuses fonctionnalités permettant d’aider les pentesters les plus expérimentés.

2 versions de Burp sont disponibles :

  • Version gratuite : fonctionnalités limitées (proxy, repéteur, séquenceur, décodeur etc.).
  • Version payante : fonctionnalités complètes (proxy, repéteur, séquenceur, décodeur, scanner, analyse de la cible, sauvegarde de session etc.).

Téléchargement

Burp Suite v1.3.03.zip

Pré-requis

Java Runtime Environment

Installation

Lancer simplement le fichier .jar ou le fichier .bat sur Windows (permet d’attribuer une quantité de mémoire définie). Il est également possible de démarrer l’application via la commande suivante :

java -jar burpsuite_v1.3.03.jar

Utilisation

1) Configuration

Dans un premier temps, nous allons indiquer à notre navigateur de passer par Burp avant de forwarder nos requêtes vers le site distant (GET, POST etc.).

Sous Firefox : Outils/Options, Avancé, Réseau, Paramètres, Cocher configuration manuelle du proxy et indiquer comme ci-dessous :


Par défaut Burp écoute sur le port 8080, libre à vous de le changer.

Il existe deux modes spécifiques à Burp :

  • L’interception à on : burp va vous demander d’effectuer une action sur la requête à envoyer : forward, drop, action particulières (envoie vers le répéteur, scanner, etc.). Pour ceux qui connaissent Tamper Data, c’est équivalent à l’activation du mode altération.
  • L’interception à off : burp va capturer le trafic en mode passif, c’est-à-dire qu’aucune action ne vous sera demandée.

2) Première requête

Je prend le cas de l’option d’interception mise à on. Nous allons sur le site www.lestutosdenico.com via notre navigateur Web et nous constatons la capture HTTP suivante :

Bon ok j’ai la requête d’envoie mais j’aimerai maintenant avoir la réponse. Pour cela, rien de plus simple.  Il suffit de cliquer sur « action » puis de faire « send to repeater ». Dans cet onglet, on clic sur le bouton « go » et voici le résultat :

Le résultat (partie du bas) contient le code source de la page distante. En manipulant la requête d’envoie, comme par exemple pour tester des failles de types XSS, on va pouvoir récupérer la source en conséquence. Jusque là, comme je l’ai indiqué plus haut, l’outil est similaire à l’addon tamper data ou live http header de firefox.

3) Exemple d’utilisation 1

D’autres options sont assez utiles comme par exemple le scan automatique de vulnérabilités (version pro), ou encore la modification automatique de certaines valeurs dans nos requêtes.

Pour exemple et dans un cas réel, nous avons utilisé l’outil sqlmap avec des collègues lors d’un audit. Malheureusement, lorsque on lui a demandé de nous fournir un remote shell, nous n’avions aucune réponse du serveur distant pour toutes les commandes envoyées. Et c’est là que Burp a été très utile. En effet, en faisant transiter les requêtes émises par sqlmap à burp, nous avons pu analyser les différentes injections SQL testées. Nous avons constaté qu’une requête était faite sur le répertoire WINDOWS hors dans notre cas le répertoire distant était WINNT.

id=1%29%20%3B%20EXEC%20master..xp_cmdshell%20%27at%20%3E%20C%3A/WINDOWS/Temp/tmpcucpl3.txt%27%3B–%20AND%20%281980=1980

Burp a pu remplacer automatiquement toutes les injections SQL comprenant le mot WINDOWS en WINNT. Au final, burp nous a permis d’éviter d’avoir à patcher l’outil sqlmap ^_^

Pour ce faire, allez sur l’onglet proxy, options puis descendre jusqu’à la partie match and replace.

3) Exemple d’utilisation 2

Il est possible que vous souhaitiez pour tester la robustesse d’une authentification Web, effectuer une attaque de type bruteforce sur un formulaire. Là encore, burp permet de faire cette action.

Dans la partie intruder vous avez plusieurs onglets dont positions et payloads.

  • Positions : permet de définir les variables que l’on souhaite tester (ex : admin.php?log=$VAR1$&pwd=$VAR2$).
  • Payloads : permet de définir un dictionnaire de login/mdp, des payloads XSS, payloads SQL etc. afin d’être injecter à la place de $VAR1$ et $VAR2$.

Au niveau de la pratique, on se place donc sur l’onglet position, on clic sur le bouton Clear afin de nettoyer les variables déjà mises, on selectionne la valeur de la variable puis on clic sur add. Exemple :


Ici deux variables : log et pwd. On met en surbrillance test123 puis on clic sur add afin d’avoir ce résultat :


Il ne reste plus qu’à choisir Intruder dans la barre du menu puis de cliquer sur « start attack ».

Voilà que s’achève notre petit tour d’horizon de Burp Suite.
N’hésitez pas à visiter la partie Help du site de l’éditeur de l’outil à l’adresse suivante :

http://portswigger.net/burp/help/

Vous y trouverez le détail d’utilisation des différents outils proposés par l’application.

11 Responses to "Burp Suite"

  • Nicolas says:
  • Securité says:
  • Securité says:
  • Nicolas says:
  • MoodST says:
  • Nicolas says:
  • Moody says:
  • monsieur meu says:
  • shp says:
  • Nicolas says:
  • ghayth says:
Laissez un commentaire