Wij zijn |

Wat is Burp Suite

Burp Suite, ook wel Burp genoemd, is een applicatie gebaseerd op Java en wordt door pentesters gebruikt om webapplicaties te pentesten. Burp Suite is ontwikkeld door Portswigger en is de industriestandaard geworden bij het pentesten van (web)applicaties.

In de basis kan Burp Suite gezien worden als proxy. Na het configureren fungeert Burp als een Man in the middle-proxy. Bij het navigeren van websites worden de webverzoeken binnen Burp Suite vastgelegd. Hierdoor is het voor een pentester mogelijk om deze webverzoeken te pauzeren, manipuleren en opnieuw uit te voeren. Daarnaast biedt Burp Suite de volgende functionaliteiten om te helpen bij het analyseren van webapplicaties.

Spider

Met de spider module van Burp is het mogelijk om de pagina’s van een webapplicatie en de parameters van bijbehorende webverzoeken in kaart te brengen. Dit helpt de pentester om een vollediger beeld te krijgen van de webapplicatie. Dit wordt ook wel de Attack Surface van de webapplicatie genoemd.

Intruder

Met de intruder module is het mogelijk om specifieke parameters dieper te analyseren. Aan de hand van een vooraf opgestelde lijst kan geanalyseerd worden of de applicatie bijvoorbeeld vatbaar is voor Cross-Site Scripting (XSS). Daarnaast is het mogelijk om wachtwoordgerelateerde aanvallen uit te voeren door met intruder een lijst met zwakke inloggegevens te testen op de inlogpagina van de website.

Repeater

Tijdens een webapplicatie pentest worden verdachte parameters vaak diepgaand geanalyseerd. Deze diepgaande analyse kan uitgevoerd worden met de repeater module. Hiermee is het voor een pentester mogelijk om de waarden van parameters aan te passen. Deze functionaliteit lijkt sterk op die van de intruder module maar bij de repeater is een vooraf opgestelde lijst niet noodzakelijk.

Sequencer

Met de sequencer module is het mogelijk om de willekeurigheid van gegevens zoals cookies en andere tokens te analyseren op zwakke punten. Zijn deze willekeurige waarden wel echt willekeurig of kunnen deze waarden achterhaald worden?

bApp store

Zoals eerder vermeld is Burp Suite de industriestandaard voor het pentesten van webapplicaties. Daardoor zijn er ook een breed scala aan extensies die door de community gemaakt zijn. Deze extensies zijn gratis te downloaden in de bApp store. Let wel op dat hier soms afhankelijkheden voor zijn. Zo is het voor sommige extensies benodigd om Jython geïnstalleerd te hebben en heb je voor sommige extensies een pro licentie nodig.

Wat kost Burp Suite

Er zijn meerdere versies van Burp beschikbaar. Zo is er een community versie die gratis te gebruiken is. Deze versie heeft een gelimiteerd aantal functies beschikbaar. Om alle functionaliteiten van Burp Suite te kunnen gebruiken kan er een Burp Suite Pro licentie gekocht worden voor €399 per gebruiker per jaar. Daarnaast biedt Portswigger een Enterprise edite van Burp Suite aan vanaf €3999. Met deze Enterprise editie is het mogelijk om geautomatiseerde scans uit te voeren die in een ontwikkelproces met bijvoorbeeld Jenkins geïntegreerd kan worden.

Hoe Burp Suite installeren

De community editie van Burp Suite is standaard geïnstalleerd binnen Kali Linux. Mocht je geen gebruik maken van Kali is het ook mogelijk om Burp Suite handmatig te installeren. Op de downloadpagina van Portswigger kan het installatiebestand gedownload worden:

https://portswigger.net/burp/releases

Hoe kunnen wij u helpen?

Stored XSS in BigBlueButton

Pentests.nl has discovered a vulnerability in BigBlueButton (version 2.4.7 and prior) which could be exploited to perform stored Cross-Site Scripting (XSS) attacks by sending private messages to users.

read more

Win een phishing simulatie

Pentests.nl bestaat vandaag precies 100 dagen en wie jarig is trakteert. Daarom geven we drie gratis phishing simulaties weg! Laat een bericht achter via LinkedIn of onze contactpagina, dan ontvangt u van ons een lotnummer. Volgende week dinsdag zullen we de winnende lotnummers bekendmaken.

read more