Перехват и модификация трафика | атака MitM через Burp Suite
Наш Telegram канал -
Второй канал -
Паблик - overpublic1 -
Заказать рекламу вы можете здесь:
Инстаграмчик здесь:
AliExpress в рамках закона [Bad AliExpress]:
Некультурный AliExpress:
Burp Suite — это интегрированная платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах. Содержит интуитивно понятный интерфейс со специально спроектированными табами, позволяющими улучшить и ускорить процесс атаки. Сам инструмент представляет из себя проксирующий механизм, перехватывающий и обрабатывающий все поступающие от браузера запросы. Имеется возможность установки сертификата burp для анализа https соединений.
Существуют две версии Burp Suite: Professional и Free. Хотя отличия по функционалу довольно существенны — Free версия является полноценным инструментом тестирования. Одно из главных отличий — отсутствие сканера в бесплатной версии и ограничение количества запросов за единицу времени. Также, в бесплатной версии отсутствуют встроенные пейлоады для интрудера.
Основной функционал основан на следующих модулях:
Proxy — перехватывающий прокси-сервер, работающий по протоколу HTTP(S) в режиме man-in-the-middle. Находясь между браузером и веб-приложением он позволит вам перехватывать, изучать и изменять трафик идущий в обоих направлениях.
Spider — паук или краулер, позволяющий вам в автоматическом режиме собирать информацию о об архитектуре веб-приложения.
Scanner — автоматический сканер уязвимостей (OWASP TOP 10 и т.д.) Доступен в Professional версии, в бесплатной версии только описание возможностей.
Intruder — утилита, позволяющая в автоматическом режиме производить атаки различного вида, такие как подбор пароля, перебор идентификаторов, фаззинг и так далее.
Repeater — утилита для модифицирования и повторной отправки отдельных HTTP-запросов и анализа ответов приложения.
Sequencer — утилита для анализа генерации случайных данных приложения, выявления алгоритма генерации, предиктивности данных.
Decoder — утилита для ручного или автоматического преобразования данных веб-приложения.
Comparer — утилита для выявления различий в данных.
Extender — расширения в BurpSuite. Можно добавлять как готовые из BApp store, так и собственной разработки. (На Pentestit Security Conference 2017 Кирилл Ермаков (CTO, QIWI) расскажет о новом плагине для выявления уязвимостей от Vulners).
С этим инструментом вы в полной мере можете заниматься тестированием безопасности компьютера, он идеально подходит для пентестинга.
Инструкция по Ettercap: атака человек-посередине (MitM), перехват паролей, обход HSTS, подмена данных на лету, использование пользовательских фильтров и плагинов, подцепление на BeEF, заражение бэкдорами
1 view
15
10
3 weeks ago 00:02:42 10
Оружие не Судного дня, но окончательного решения вопроса с нацистами
3 weeks ago 01:07:49 889
Тотальная ложь фильма про Колчака \\ Наезд на Е. Спицына (А. Колпакиди)
3 weeks ago 00:06:57 1.2K
Разбор Предупреждений Владимира Путина И Ракеты “Орешник“ - Ребекка Коффлер | Sky News |
3 weeks ago 00:02:05 43
️Политолог: «Украина – это зомби. Из дробовика хрен завалишь». Чтобы проявить инициативу, американцам нужно или уже самим вступа
3 weeks ago 00:00:59 1
ПВО за ночь уничтожила и перехватила 47 украинских БПЛА над российскими регионами
3 weeks ago 00:01:14 187
36-летний липчанин воровал в 8 магазинах
Он украл шоколад, кофе, сливочное масло и алкоголь на 27 тысяч рублей.
3 weeks ago 01:36:05 1.1K
Канун разрушений (1990)
3 weeks ago 00:00:16 4
Горит нефтебаза в Каменском районе, говорят очевидцы.