Wij zijn |
Wat is Burp Suite
Burp Suite, ook wel Burp genoemd, is een applicatie gebaseerd op Java en wordt door pentesters gebruikt om webapplicaties te pentesten. Burp Suite is ontwikkeld door Portswigger en is de industriestandaard geworden bij het pentesten van (web)applicaties.
In de basis kan Burp Suite gezien worden als proxy. Na het configureren fungeert Burp als een Man in the middle-proxy. Bij het navigeren van websites worden de webverzoeken binnen Burp Suite vastgelegd. Hierdoor is het voor een pentester mogelijk om deze webverzoeken te pauzeren, manipuleren en opnieuw uit te voeren. Daarnaast biedt Burp Suite de volgende functionaliteiten om te helpen bij het analyseren van webapplicaties.
Wat is Burp Suite
Spider
Met de spider module van Burp is het mogelijk om de pagina’s van een webapplicatie en de parameters van bijbehorende webverzoeken in kaart te brengen. Dit helpt de pentester om een vollediger beeld te krijgen van de webapplicatie. Dit wordt ook wel de Attack Surface van de webapplicatie genoemd.
Intruder
Met de intruder module is het mogelijk om specifieke parameters dieper te analyseren. Aan de hand van een vooraf opgestelde lijst kan geanalyseerd worden of de applicatie bijvoorbeeld vatbaar is voor Cross-Site Scripting (XSS). Daarnaast is het mogelijk om wachtwoordgerelateerde aanvallen uit te voeren door met intruder een lijst met zwakke inloggegevens te testen op de inlogpagina van de website.
Repeater
Tijdens een webapplicatie pentest worden verdachte parameters vaak diepgaand geanalyseerd. Deze diepgaande analyse kan uitgevoerd worden met de repeater module. Hiermee is het voor een pentester mogelijk om de waarden van parameters aan te passen. Deze functionaliteit lijkt sterk op die van de intruder module maar bij de repeater is een vooraf opgestelde lijst niet noodzakelijk.
Sequencer
Met de sequencer module is het mogelijk om de willekeurigheid van gegevens zoals cookies en andere tokens te analyseren op zwakke punten. Zijn deze willekeurige waarden wel echt willekeurig of kunnen deze waarden achterhaald worden?
bApp store
Zoals eerder vermeld is Burp Suite de industriestandaard voor het pentesten van webapplicaties. Daardoor zijn er ook een breed scala aan extensies die door de community gemaakt zijn. Deze extensies zijn gratis te downloaden in de bApp store. Let wel op dat hier soms afhankelijkheden voor zijn. Zo is het voor sommige extensies benodigd om Jython geïnstalleerd te hebben en heb je voor sommige extensies een pro licentie nodig.
Wat kost Burp Suite
Er zijn meerdere versies van Burp beschikbaar. Zo is er een community versie die gratis te gebruiken is. Deze versie heeft een gelimiteerd aantal functies beschikbaar. Om alle functionaliteiten van Burp Suite te kunnen gebruiken kan er een Burp Suite Pro licentie gekocht worden voor €399 per gebruiker per jaar. Daarnaast biedt Portswigger een Enterprise edite van Burp Suite aan vanaf €3999. Met deze Enterprise editie is het mogelijk om geautomatiseerde scans uit te voeren die in een ontwikkelproces met bijvoorbeeld Jenkins geïntegreerd kan worden.
Hoe Burp Suite installeren
De community editie van Burp Suite is standaard geïnstalleerd binnen Kali Linux. Mocht je geen gebruik maken van Kali is het ook mogelijk om Burp Suite handmatig te installeren. Op de downloadpagina van Portswigger kan het installatiebestand gedownload worden:
Hoe kunnen wij u helpen?
QR Codes: Het onverwachte wapen in Device Code Phishing
Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.
Cross-Site Scripting (XSS): wat is het en hoe te voorkomen
In deze blogpost lees je alles over Cross-Site Scripting (XSS). Welke vormen van XSS er zijn. Wat de impact van een XSS-aanval kan zijn en hoe je het kan voorkomen.
CORS: het belang van Cross-Origin Resource Sharing
Bij onze klanten zien we een toenemende implementatie van Cross-Origin Resource Sharing (CORS). Helaas constateren we ook een stijging in het aantal onveilig geconfigureerde CORS-implementaties. In deze blog duiken we dieper in wat CORS is, de meest voorkomende misconfiguraties en hun potentiële risico’s, en hoe je sterke CORS-regels kunt instellen om je webapplicaties te beschermen.