Wij zijn |
Wat is Burp Suite
Burp Suite, ook wel Burp genoemd, is een applicatie gebaseerd op Java en wordt door pentesters gebruikt om webapplicaties te pentesten. Burp Suite is ontwikkeld door Portswigger en is de industriestandaard geworden bij het pentesten van (web)applicaties.
In de basis kan Burp Suite gezien worden als proxy. Na het configureren fungeert Burp als een Man in the middle-proxy. Bij het navigeren van websites worden de webverzoeken binnen Burp Suite vastgelegd. Hierdoor is het voor een pentester mogelijk om deze webverzoeken te pauzeren, manipuleren en opnieuw uit te voeren. Daarnaast biedt Burp Suite de volgende functionaliteiten om te helpen bij het analyseren van webapplicaties.
Wat is Burp Suite
Spider
Met de spider module van Burp is het mogelijk om de pagina’s van een webapplicatie en de parameters van bijbehorende webverzoeken in kaart te brengen. Dit helpt de pentester om een vollediger beeld te krijgen van de webapplicatie. Dit wordt ook wel de Attack Surface van de webapplicatie genoemd.
Intruder
Met de intruder module is het mogelijk om specifieke parameters dieper te analyseren. Aan de hand van een vooraf opgestelde lijst kan geanalyseerd worden of de applicatie bijvoorbeeld vatbaar is voor Cross-Site Scripting (XSS). Daarnaast is het mogelijk om wachtwoordgerelateerde aanvallen uit te voeren door met intruder een lijst met zwakke inloggegevens te testen op de inlogpagina van de website.
Repeater
Tijdens een webapplicatie pentest worden verdachte parameters vaak diepgaand geanalyseerd. Deze diepgaande analyse kan uitgevoerd worden met de repeater module. Hiermee is het voor een pentester mogelijk om de waarden van parameters aan te passen. Deze functionaliteit lijkt sterk op die van de intruder module maar bij de repeater is een vooraf opgestelde lijst niet noodzakelijk.
Sequencer
Met de sequencer module is het mogelijk om de willekeurigheid van gegevens zoals cookies en andere tokens te analyseren op zwakke punten. Zijn deze willekeurige waarden wel echt willekeurig of kunnen deze waarden achterhaald worden?
bApp store
Zoals eerder vermeld is Burp Suite de industriestandaard voor het pentesten van webapplicaties. Daardoor zijn er ook een breed scala aan extensies die door de community gemaakt zijn. Deze extensies zijn gratis te downloaden in de bApp store. Let wel op dat hier soms afhankelijkheden voor zijn. Zo is het voor sommige extensies benodigd om Jython geïnstalleerd te hebben en heb je voor sommige extensies een pro licentie nodig.
Wat kost Burp Suite
Er zijn meerdere versies van Burp beschikbaar. Zo is er een community versie die gratis te gebruiken is. Deze versie heeft een gelimiteerd aantal functies beschikbaar. Om alle functionaliteiten van Burp Suite te kunnen gebruiken kan er een Burp Suite Pro licentie gekocht worden voor €399 per gebruiker per jaar. Daarnaast biedt Portswigger een Enterprise edite van Burp Suite aan vanaf €3999. Met deze Enterprise editie is het mogelijk om geautomatiseerde scans uit te voeren die in een ontwikkelproces met bijvoorbeeld Jenkins geïntegreerd kan worden.
Hoe Burp Suite installeren
De community editie van Burp Suite is standaard geïnstalleerd binnen Kali Linux. Mocht je geen gebruik maken van Kali is het ook mogelijk om Burp Suite handmatig te installeren. Op de downloadpagina van Portswigger kan het installatiebestand gedownload worden:
Hoe kunnen wij u helpen?
CVE-2023-27532 – kwetsbaarheid in Veeam Backup & Replication
Er is een kwetsbaarheid ontdekt binnen Veeam Backup & Replication, waardoor een ongeauthenticeerde gebruiker toegang kan krijgen tot inloggegevens en zelfs code kan uitvoeren op het systeem. In deze blogpost lees je hoe we de kwetsbaarheid hebben uitgebuit.
Verander regelmatig je wachtwoord!
Gebruik van oude wachtwoorden voor administrators kan ernstige risico’s met zich meebrengen voor het bedrijfsnetwerk. Zorg ervoor dat wachtwoorden regelmatig geüpdatet worden om inbraken te voorkomen en de beveiliging van het netwerk te verbeteren.
Emotet – Wat is het en hoe ertegen te beschermen
Emotet is een voorbeeld van malware die de laatste tijd voor veel problemen zorgt. Emotet werd in 2021 door samenwerkende opsporingsdienst uitgeschakeld. Eind goed, al goed? Helaas, Emotet is weer terug.