Wij zijn |
Wat is Burp Suite
Burp Suite, ook wel Burp genoemd, is een applicatie gebaseerd op Java en wordt door pentesters gebruikt om webapplicaties te pentesten. Burp Suite is ontwikkeld door Portswigger en is de industriestandaard geworden bij het pentesten van (web)applicaties.
In de basis kan Burp Suite gezien worden als proxy. Na het configureren fungeert Burp als een Man in the middle-proxy. Bij het navigeren van websites worden de webverzoeken binnen Burp Suite vastgelegd. Hierdoor is het voor een pentester mogelijk om deze webverzoeken te pauzeren, manipuleren en opnieuw uit te voeren. Daarnaast biedt Burp Suite de volgende functionaliteiten om te helpen bij het analyseren van webapplicaties.
Wat is Burp Suite
Spider
Met de spider module van Burp is het mogelijk om de pagina’s van een webapplicatie en de parameters van bijbehorende webverzoeken in kaart te brengen. Dit helpt de pentester om een vollediger beeld te krijgen van de webapplicatie. Dit wordt ook wel de Attack Surface van de webapplicatie genoemd.
Intruder
Met de intruder module is het mogelijk om specifieke parameters dieper te analyseren. Aan de hand van een vooraf opgestelde lijst kan geanalyseerd worden of de applicatie bijvoorbeeld vatbaar is voor Cross-Site Scripting (XSS). Daarnaast is het mogelijk om wachtwoordgerelateerde aanvallen uit te voeren door met intruder een lijst met zwakke inloggegevens te testen op de inlogpagina van de website.
Repeater
Tijdens een webapplicatie pentest worden verdachte parameters vaak diepgaand geanalyseerd. Deze diepgaande analyse kan uitgevoerd worden met de repeater module. Hiermee is het voor een pentester mogelijk om de waarden van parameters aan te passen. Deze functionaliteit lijkt sterk op die van de intruder module maar bij de repeater is een vooraf opgestelde lijst niet noodzakelijk.
Sequencer
Met de sequencer module is het mogelijk om de willekeurigheid van gegevens zoals cookies en andere tokens te analyseren op zwakke punten. Zijn deze willekeurige waarden wel echt willekeurig of kunnen deze waarden achterhaald worden?
bApp store
Zoals eerder vermeld is Burp Suite de industriestandaard voor het pentesten van webapplicaties. Daardoor zijn er ook een breed scala aan extensies die door de community gemaakt zijn. Deze extensies zijn gratis te downloaden in de bApp store. Let wel op dat hier soms afhankelijkheden voor zijn. Zo is het voor sommige extensies benodigd om Jython geïnstalleerd te hebben en heb je voor sommige extensies een pro licentie nodig.
Wat kost Burp Suite
Er zijn meerdere versies van Burp beschikbaar. Zo is er een community versie die gratis te gebruiken is. Deze versie heeft een gelimiteerd aantal functies beschikbaar. Om alle functionaliteiten van Burp Suite te kunnen gebruiken kan er een Burp Suite Pro licentie gekocht worden voor €399 per gebruiker per jaar. Daarnaast biedt Portswigger een Enterprise edite van Burp Suite aan vanaf €3999. Met deze Enterprise editie is het mogelijk om geautomatiseerde scans uit te voeren die in een ontwikkelproces met bijvoorbeeld Jenkins geïntegreerd kan worden.
Hoe Burp Suite installeren
De community editie van Burp Suite is standaard geïnstalleerd binnen Kali Linux. Mocht je geen gebruik maken van Kali is het ook mogelijk om Burp Suite handmatig te installeren. Op de downloadpagina van Portswigger kan het installatiebestand gedownload worden:
Hoe kunnen wij u helpen?
Hoe werkt NTLM, NTLMv1, NTLMv2, LM?
In deze blogpost lees je over de werking van het NTLM authenticatieprotocol. Vaker dan eens worden termen door elkaar gebruikt. Wat is nu het verschil tussen NTLMv1 en NTLMv2? En hoe maak je van alleen een wachtwoord een valide NTLMv2-response?
Server header verwijderen
Ontdek hoe je de Server-header in HTTP-responses beheert voor IIS, Nginx en Apache om je webserver veiliger te maken. Veiligheid is geen luxe, maar een noodzaak.
CVE-2023-28130 – Command injection in Check Point Gaia Portal
Pentests.nl has discovered a vulnerability in Check Point Gaia Portal which, as an authenticated user, could be exploited to execute commands on the operating system.