Tool-Tipp: Burp Suite

Mit Burp Suite Schwachstellen in Web applications finden

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Wie man mit dem Security-Scanner Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir in diesem Tool-Tipp.
Wie man mit dem Security-Scanner Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir in diesem Tool-Tipp. (© Andrea Danti - stock.adobe.com)

Mit der Burp Suite können Administratoren den HTTP/HTTPS-Verkehr zu Webanwendungen abfangen und manipulieren, bevor er an den Server geschickt wird. Dadurch lassen sich Sicherheitslücken in Webanwendungen schnell und effektiv entdecken.

Webanwendungen müssen regelmäßig auf Sicherheitslücken hin getestet werden. Hier ist eine gewisse Automatisierung sinnvoll, da dadurch ein laufender Prozess für das Absichern der Anwendungen geschaffen wird. Mit der Burp Suite vom Unternehmen Portswigger lassen sich die bekanntesten Schwachstellen in Webanwendungen auffinden. Dazu gehören auch SQL-Injection oder Cross-Site-Scripting (XSS). Mehr zu den Möglichkeiten ist im Video zu diesem Artikel zu finden.

Das Tool lässt sich auf Windows-Rechnern installieren und ist daher sehr schnell einsatzbereit. Zusätzlich steht das Tool auch in der Sicherheits-Live-DVD Kali zur Verfügung. Auch hier kann die Suite mit wenigen Mausklicks gestartet werden.

Wie man mit der Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Kostenlos oder Professionell testen

Burp Suite steht als kostenlose Version zur Verfügung, die aber deutlich eingeschränkt ist. Wer dauerhaft seine Webanwendungen testen will, sollte mit der Professional-Edition arbeiten. Diese kostet 329 Euro pro Jahr und Benutzer. Die Entwickler stellen die Professional-Edition 14-Tage als kostenlose Testversion zur Verfügung. Die verschiedenen Editionen unterstützen unterschiedliche Scan-Geschwindigkeiten und Tester können für jedes zu untersuchende Gerät genau festlegen.

Burp Suite einrichten

Die Installation ist schnell abgeschlossen. Nach der Installation kann ein erstes Projekt gestartet werden. Die Scaneinstellungen werden entweder aus der Standardkonfiguration geladen, oder Tester laden beim Erstellen eines neuen Projektes die Einstellungen aus einer Konfigurationsdatei.

Nach dem Start der Oberfläche sollte zunächst über die Registerkarte „Proxy“ überprüft werden, ob der interne Proxy eingeschaltet ist und Daten abfängt. Mit „Options“ lassen sich Einstellungen für den Proxy vornehmen. Hier kann zum Beispiel festgelegt werden, welchen lokalen Port der Burp-Proxy nutzt. Über die Registerkarte „Intercept“ wird festgelegt, ob Burp die Daten weitersenden- oder den Datenverkehr zur Untersuchung unterbrechen soll.

Wird jetzt auf einem PC der Rechner mit der gestarteten Burp Suite als Proxy im Browser eingetragen, wird der komplette Datenverkehr über den Proxy geleitet. Standardmäßig arbeitet der Proxy im „Intercept“-Modus. In diesem Modus werden die Daten nur abgefangen aber nicht weitergeleitet. Wird auf der Registerkarte „Proxy“ und dann auf „Intercept“ geklickt, kann der Intercept-Modus ausgeschaltet werden. In diesem Fall leitet der Burp-Proxy alle Daten zum Ziel weiter. Auch diese Daten sind auf der Registerkarte „HTTP history“ zu sehen und lassen sich auf Schwachstellen hin testen. Das ist auch daran zu sehen, dass auf der Registerkarte „Proxy“ und dann auf „HTTP history“ der Datenverkehr zu sehen ist.

Wie man mit der Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Scans durchführen

Wenn die Umgebung vorbereitet ist, können erste Scanvorgänge gestartet werden. Dazu wird in einem Browser der die Burp Suite als Proxy-Server nutzt die Webanwendung aufgerufen, in der nach Schwachstellen gesucht werden soll. Die Module, mit denen die Burp Suite arbeitet und nach Schwachstellen suchen kann, sind im oberen Bereich des Fensters zu sehen.

Über die Registerkarte „Proxy“ und dann auf „HTTP history“ ist der Datenverkehr zu sehen, den Clients über die Burp Suite starten. Über das Kontextmenü eines Eintrags kann eine Verbindung mit einem Modul hergestellt werden. Dazu die Option „Send to <Modul>“ ausgewählt.

Wird zum Beispiel über das Kontextmenü die Option „Send to Sequencer“ ausgewählt, markiert Burp das Modul „Sequencer“ und mit „Start live capture“ kann eine Live-Untersuchung gestartet werden.

Mit Kali Pentests durchführen und Sicherheitslücken finden

Tool-Tipp: Kali Linux

Mit Kali Pentests durchführen und Sicherheitslücken finden

18.07.17 - Kali gehört zu den bekanntesten Linux-Distributionen für Sicherheit im Netzwerk. Zur Kali Linux Live-DVD gehören zahlreiche Sicherheitstools, mit denen sich Penetrationstests und Netzwerkanalysen durchführen und Sicherheitslücken finden lassen. So können Admins lokale Systeme und Netzwerke optimal absichern. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45083055 / Mobile- und Web-Apps)