Suchen

Tool-Tipp: Burp Suite Mit Burp Suite Schwachstellen in Web applications finden

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit der Burp Suite können Administratoren den HTTP/HTTPS-Verkehr zu Webanwendungen abfangen und manipulieren, bevor er an den Server geschickt wird. Dadurch lassen sich Sicherheitslücken in Webanwendungen schnell und effektiv entdecken.

Firmen zum Thema

Wie man mit dem Security-Scanner Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir in diesem Tool-Tipp.
Wie man mit dem Security-Scanner Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir in diesem Tool-Tipp.
(© Andrea Danti - stock.adobe.com)

Webanwendungen müssen regelmäßig auf Sicherheitslücken hin getestet werden. Hier ist eine gewisse Automatisierung sinnvoll, da dadurch ein laufender Prozess für das Absichern der Anwendungen geschaffen wird. Mit der Burp Suite vom Unternehmen Portswigger lassen sich die bekanntesten Schwachstellen in Webanwendungen auffinden. Dazu gehören auch SQL-Injection oder Cross-Site-Scripting (XSS). Mehr zu den Möglichkeiten ist im Video zu diesem Artikel zu finden.

Das Tool lässt sich auf Windows-Rechnern installieren und ist daher sehr schnell einsatzbereit. Zusätzlich steht das Tool auch in der Sicherheits-Live-DVD Kali zur Verfügung. Auch hier kann die Suite mit wenigen Mausklicks gestartet werden.

Bildergalerie
Bildergalerie mit 9 Bildern

Wie man mit der Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Kostenlos oder Professionell testen

Burp Suite steht als kostenlose Version zur Verfügung, die aber deutlich eingeschränkt ist. Wer dauerhaft seine Webanwendungen testen will, sollte mit der Professional-Edition arbeiten. Diese kostet 329 Euro pro Jahr und Benutzer. Die Entwickler stellen die Professional-Edition 14-Tage als kostenlose Testversion zur Verfügung. Die verschiedenen Editionen unterstützen unterschiedliche Scan-Geschwindigkeiten und Tester können für jedes zu untersuchende Gerät genau festlegen.

Burp Suite einrichten

Die Installation ist schnell abgeschlossen. Nach der Installation kann ein erstes Projekt gestartet werden. Die Scaneinstellungen werden entweder aus der Standardkonfiguration geladen, oder Tester laden beim Erstellen eines neuen Projektes die Einstellungen aus einer Konfigurationsdatei.

Nach dem Start der Oberfläche sollte zunächst über die Registerkarte „Proxy“ überprüft werden, ob der interne Proxy eingeschaltet ist und Daten abfängt. Mit „Options“ lassen sich Einstellungen für den Proxy vornehmen. Hier kann zum Beispiel festgelegt werden, welchen lokalen Port der Burp-Proxy nutzt. Über die Registerkarte „Intercept“ wird festgelegt, ob Burp die Daten weitersenden- oder den Datenverkehr zur Untersuchung unterbrechen soll.

Wird jetzt auf einem PC der Rechner mit der gestarteten Burp Suite als Proxy im Browser eingetragen, wird der komplette Datenverkehr über den Proxy geleitet. Standardmäßig arbeitet der Proxy im „Intercept“-Modus. In diesem Modus werden die Daten nur abgefangen aber nicht weitergeleitet. Wird auf der Registerkarte „Proxy“ und dann auf „Intercept“ geklickt, kann der Intercept-Modus ausgeschaltet werden. In diesem Fall leitet der Burp-Proxy alle Daten zum Ziel weiter. Auch diese Daten sind auf der Registerkarte „HTTP history“ zu sehen und lassen sich auf Schwachstellen hin testen. Das ist auch daran zu sehen, dass auf der Registerkarte „Proxy“ und dann auf „HTTP history“ der Datenverkehr zu sehen ist.

Bildergalerie
Bildergalerie mit 9 Bildern

Wie man mit der Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Scans durchführen

Wenn die Umgebung vorbereitet ist, können erste Scanvorgänge gestartet werden. Dazu wird in einem Browser der die Burp Suite als Proxy-Server nutzt die Webanwendung aufgerufen, in der nach Schwachstellen gesucht werden soll. Die Module, mit denen die Burp Suite arbeitet und nach Schwachstellen suchen kann, sind im oberen Bereich des Fensters zu sehen.

Über die Registerkarte „Proxy“ und dann auf „HTTP history“ ist der Datenverkehr zu sehen, den Clients über die Burp Suite starten. Über das Kontextmenü eines Eintrags kann eine Verbindung mit einem Modul hergestellt werden. Dazu die Option „Send to <Modul>“ ausgewählt.

Wird zum Beispiel über das Kontextmenü die Option „Send to Sequencer“ ausgewählt, markiert Burp das Modul „Sequencer“ und mit „Start live capture“ kann eine Live-Untersuchung gestartet werden.

(ID:45083055)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist