خبرهای مهم: سریعا ویندوز خود را آپدیت کنید!

تاریخ امروز برابر است با [ یکشنبه ۲ مهر ۱۳۹۶ ]

در ابزار Burp Suite می توانید تمامی درخواست هایی که از ابزار رد شده را به همان ترتیب در بخش Proxy->HTTP history مشاهده نمایید. با کلیک روی هر درخواستی که در این صفحه مشاهده می کنید می توانید اطلاعات تکمیلی درباره آن مشاهده نمایید.

 

همانطور که در تصویر مشاهده می نمایید، اطلاعات تکمیلی از هر درخواست و پاسخ مربوطه سرور در پایین صفحه قابل رویت می باشد. همچنین اطلاعات کلی و کاملی به صورت جدول در بخش بالایی پنجره به ازای هر درخواست ارائه شده است.

برای به دست آوردن اطلاعات یک سایت می بایست تمامی مسیرهای آن را بیابید. اگر این کار را به صورت دستی انجام دهید، زمان زیادی را از دست خواهید داد. علاوه بر این ممکن است بسیاری از مسیرها را نیابید. Burp Suite برای رفع این مشکل بخش Spider را ایجاد کرده است. وظیفه این بخش کشف همه مسیرهای وب سایت هدف است.

برای استفاده از این بخش در بخش Target->Site Map روی دامین مورد نظر خود کلیک راست کنید و گزینه Spider this Host را بزنید. پس از انجام این کار در بخش Spider  می توانید تعداد درخواست های ارسالی و میزان اطلاعات دریافتی را مشاهده نمایید. آدرس های یافت شده در این بخش نیز به همان Target->Site Map اضافه خواهند شد.

از قابلیت های این بخش برنامه می توان به موارد زیر اشاره نمود:

  1. خواندن و استفاده از فایل robots.txt
  2. تشخیص خطاهای ۴۰۴ شخصی سازی شده
  3. درخواست دایرکتوری اصلی در هر شاخه
  4. درخواست صفحات با پارامترهای مختلف و بدون پارامتر
  5. امکان Spidering تنها در زمانی که شما صفحات را مرور می کنید
  6. امکان Submit خودکار فرم ها و پر کردن مقادیر آن ها بر اساس Regex
  7. امکان ورود به سایت هایی که دارای صفحه ورود هستند
  8. Spider کردن به صورت Multithread و یا چندنخی با کنترل کاربر
  9. امکان تعریف Headerهای مشخص برای ایجاد درخواست ها

 

از نتایج این بخش در Scanner امنیتی این ابزار نیز استفاده خواهد شد. بنابراین اگر می خواهید سایتی را با این ابزار مورد بررسی امنیتی قرار دهید، ابتدا آن را Spider نمایید.

 

Brute Force یکی از شیوه های معمول نفوذ در بین هکرهاست. برای انجام این حمله نیاز به ابزاری دارید که بتواند با سرعت زیادی درخواست های متوالی با ورودی های مشخص را به سمت سرور ارسال کند و بتواند نتایج آن را پردازش کند. برای این منظور می توانید از بخش Intruder در ابزار Burp Suite استفاده نمایید.

برای انجام یک حمله Brute Force ابتدا در بخش Target روی یکی از درخواست هایی که می خواهید تکرار شود کلیک راست کنید و سپس گزینه Send To Intruder را بزنید.

 

پس از این کار می توانید به بخش Intruder->Target مراجعه کنید.

در این صفحه می توانید آدرس اصلی، پورت و نوع درخواست HTTP یا HTTPS را مشخص نمایید. در بخش Intruder->Position می توانید با انتخاب بخش هایی از درخواست به برنامه نشان دهید که چه قسمت هایی در هر درخواست باید تغییر کند.

در این بخش می توانید کل درخواست را مشاهده نمایید. هر بخش از درخواست را که مایل به تغییر آن در هر درخواست هستید بین دو علامت § قرار دهید و یا آن را انتخاب نمایید و دکمه Add را بزنید. اگر این کار را به درستی انجام دهید، بخش مربوطه به رنگ نارنجی در خواهد آمد.

در قسمت Intruder->Payloads برای هر بخشی که به عنوان متغیر مشخص کرده اید، مقادیر آن را به ازای هر درخواست مشخص می کنید.

در این بخش می توانید برای یک Payload ورودی هایی از نوع عدد، تاریخ، خواندن از لیست، مقدارهای تصادفی، تولید کننده های الگویی و … استفاده نمایید. توجه داشته باشید که با انتخاب هر دسته از ورودی ها، تنظیمات مربوط به آن دسته ظاهر خواهد شد.

در نهایت برای اجرای آزمون از منوی اصلی برنامه Intruder->Start Attack را بزنید تا پنجره ای به شکل زیر ظاهر شود.

در نهایت می توانید اطلاعات کامل هر درخواست را با انتخاب آن مشاهده نمایید.

حال اگر بخواهید یک درخواست را با کمی تغییر مجدد اجرا کنید، باید از Repeater استفاده نمایید، برای این منظور روی یکی از درخواست ها در بخش Target-> Site Map کلیک راست نمایید و از آنجا گزینه Send To Repeater را بزنید.

سپس می توانید در بخش Repeater درخواست مورد نظر خود را مشاهده نمایید.

در بخش سمت چپ می توانید درخواست را مشاهده نمایید و آن را در صورت نیاز تغییر دهید. سپس با زدن دکمه Go درخواست ارسال می شود و نتیجه درخواست در سمت راست قابل مشاهده خواهد بود. همچنین در سمت راست می توانید با رفتن به قسمت Render خروجی را شبیه به آن چیزی که در مرورگر می بینید، مشاهده نمایید.

در هنگام بررسی یک وب سایت گاهی به عبارت هایی در درخواست یا پاسخ سرور بر می خوریم که کد شده هستند. برای اینکه این عبارت ها را Decoe یا دیکد کنیم می توانیم از بخش Decoder ابزار Burp Suite استفاده کنیم.

برای انجام این منظور در هر جای برنامه متنی که به صورت کد شده وجود دارد را انتخاب نمایید. سپس کلیک راست کرده و گزینه Send to Decoder را بزنید.

سپس متن انتخابی خود را در بخش Decoder خواهید دید.

در این پنجره با استفاده از منوهای سمت راست می توانید متن را به یکی از کدینگ های زیر کد و یا از آن ها دیکد کنید:

  • Plain
  • URL
  • HTML
  • Base 64
  • ASCII Hex
  • HEX
  • Octal
  • Binary
  • Gzip

همچنین می توانید متن انتخابی خود را به یکی از روش های زیر Hash کنید:

 

  • MD2
  • MD5
  • SHA
  • SHA-256
  • SHA-384
  • SHA-512
نویسنده: علی رحمتی

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*