Ongewenste verzoeken doen aan een website met Burp Suite

Ongewenste verzoeken doen aan een website met Burp Suite
Inhoudsopgave

Vandaag laat ik je zien waarom je voorzichtig moet zijn en het web heel goed moet controleren om problemen te voorkomen. We zullen zien hoe u verzoeken naar een website kunt sturen om een ​​item te kopen dat niet beschikbaar is en aangezien je ons verlaat via Burp Suite, is het een paginafout door de bewerking niet correct te controleren.

OpmerkingLet op het volgende:

  • Behalve dit voorbeeld kun je nog veel meer dingen doen.
  • Deze techniek die ik laat zien, zal u helpen uw webpagina's te testen en te kijken of deze deze bugs heeft.
  • Het enige doel van deze demonstratie is om u te laten zien welke risico's er zijn en hoeveel moeite uw bedrijf zal hebben als dingen niet vanaf het begin goed worden gedaan.

Tijd om de tutorial te starten en te zien hoe pakketten te verwerken en naar webpagina's te sturen via Burp Suite.

Stap 1
We moeten Burp Suite downloaden, je moet java geïnstalleerd hebben, klik hiervoor hier.

DOWNLOAD BURP SUITE

Stap 2
Voer het in stap 1 gedownloade jar-bestand (Burp Suite) uit. Hiervoor gebruiken we het volgende commando in de cmd of terminal (Je moet naar de map gaan waar het bestand zich bevindt), waar staat file_name zet het gedownloade Burp Suite-bestand in stap 1 . 

 java -jar bestandsnaam
Het eerste dat eruit komt is het accepteren van de voorwaarden, we klikken op ik accepteer.

In het volgende venster geven we Volgende.

In het scherm dat nu verschijnt, kun je configuraties laden of ze standaard laten, ik laat ze zoals ze komen en we klikken Burp starten.

Wanneer het programma is geopend, klikt u op het tabblad volmacht en in de tabbladen die we hieronder zien kiezen we Opties. Hier zullen we een proxy configureren zodat al het verkeer door het programma gaat.

Dit is waar we de proxy moeten configureren, dan laat ik je enkele afbeeldingen achter van de configuratie die je moet hebben.

VERGROTEN

[kleur = # a9a9a9] Klik op de afbeelding om te vergroten [/ kleur]

De rest van de configuratie (die hier niet verschijnt) is standaard, zoals deze in Burp Suite wordt geleverd. Nu, zodat elk pakket niet wordt onderschept, gaan we naar het tabblad Onderscheppen en we klikken waar het staat Onderschepping is ingeschakeld, zodat het blijft zoals ik laat zien in de volgende afbeelding:

We hebben het al geconfigureerd.

Stap 3
We gaan naar onze favoriete browser en we laten het internetten via de proxy die we eerder hebben geconfigureerd (IP: 127.0.0.1, poort: 8080). Ik ga het doen in Mozilla Firefox, we moeten opties invoeren, zoals we in de volgende afbeelding zien:

Er wordt een nieuw tabblad geopend, we kiezen Geavanceerd, en binnen Netto, daar klikken we op Instelling:

We configureren het zoals in de volgende afbeelding en klikken op Accepteren:

Stap 4
We kunnen al door de proxy navigeren, dus Burp Suite zal de pakketten al vastleggen.
We navigeren naar de website (in mijn geval een online winkel) en we zien dat ze niet alle maten hebben, in dit geval ga ik een maat 38 kopen en een 40 om de gegevens te zien van de pakketten die zijn verzonden.

Stap 5
We zoeken in de Burp Suite naar de verzonden pakketten, klik hiervoor op het tabblad DoelWat ik graag wil zien, is het aankoopverzoek, dus we kijken naar de POST-zendingen naar de pagina die de "toevoegen aan winkelwagen" maakt, en daar onderzoeken we welke parameters ons van dienst kunnen zijn.

OpmerkingIk heb alle informatie van de URL verwijderd. Ik doe de proof of concept en delen van de Burp Suite in de opnames, het belangrijkste is om serieus te worden over beveiliging.

Stap 6
Wanneer we het gewenste pakket hebben en we weten wat te doen, we selecteren het, we klikken met de rechtermuisknop en we zullen verschillende opties krijgen, we kiezen: Verzenden naar Repeater:

We zullen zien dat de menuoptie hierboven heet Repeater oranje wordt, klikken we erop en zien we het volgende:

VERGROTEN

[kleur = # a9a9a9] Klik op de afbeelding om te vergroten [/ kleur]

Als we hier parameters wijzigen, kunnen we verzoeken doen aan de server die niet zijn toegestaan ​​vanaf het web (u kunt ook verzoeken toestaan), omdat de pagina er niet op is voorbereid en ze niet zouden moeten worden gedaan, maar dankzij Burp Suite kunt u zal kunnen veranderen.

In dit geval heb ik verschillende maten gekocht, omdat ik 36 wil die niet beschikbaar is, ik koop 38, 40 en ik ontdek dat er in de POST-pakketten een identifier is die 2 nummers verandert en toevallig hebben ze te maken met de maten, kijk naar de 2 foto's hieronder:

Dan ja Ik verander de lijn in het pakket dat ik naar de Repeater stuur: 

 cartAction = toevoegen & pid = 04376540940
Door het volgende: 
 cartAction = toevoegen & pid = 04376540936
Zal ik maat 36 toevoegen aan de winkelwagen? We gaan testen, om het gewijzigde (of ongewijzigde) pakket dat we geven te verzenden Gaan. We zien in de volgende afbeelding hoe de aanvraag correct is verwerkt.

VERGROTEN

[kleur = # a9a9a9] Klik op de afbeelding om te vergroten [/ kleur]

Als ik naar de website ga en de winkelwagen binnenga, zien we dat het product is toegevoegd, het toont ons een bericht om het te verwijderen dat het niet beschikbaar is, maar het zou niet moeten toestaan ​​​​om het toe te voegen.

Nu kan ik niet op de knop klikken om mijn aankoop af te ronden, de knop is grijs:

Voor niets klikken we met de rechtermuisknop op de knop en klikken we op element inspecteren, we zoeken naar de uitgeschakelde optie van de knop en verwijderen deze:

VERGROTEN

[kleur = # a9a9a9] Klik op de afbeelding om te vergroten [/ kleur]

Als we nu op de knop gaan klikken, kunnen we onze aankoop afronden, want het doet niets meer dan controleren aan de kant van de klant:

Hier is het enige dat is geprobeerd het bewustzijn te vergroten bij het programmeren van een webpagina (niet om pagina's aan te vallen), aangezien er veel tools zijn die het voor ons gemakkelijker maken om dingen te doen die niet zouden moeten worden gedaan, in dit geval niet hebben veel zin om iets te kopen dat ze je niet gaan sturen, maar als veel mensen dit doen, zal het bedrijf het geld moeten teruggeven, wat betekent dat hun werknemers hier tijd aan moeten besteden en niet in staat zullen zijn om ander werk.

Stel je voor dat we in plaats van een niet-beschikbaar artikel aan de winkelwagen toe te voegen, een aankoop doen voor € 0 en we nemen artikelen ter waarde van € 1000. Deze storingen bestaan ​​op internet en bedrijven moeten op de hoogte zijn en investeren in hun beveiliging, want het kan zijn dat deze gemakkelijk vermijdbare storingen tot een faillissement leiden.

OpmerkingTest altijd uw websites en ontdek de fouten die ze kunnen hebben, met deze en andere technieken, zoals SQL-injectie. Wacht niet tot een aanvaller ze ontdekt.

Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een ​​positief punt te geven

U zal helpen de ontwikkeling van de site, het delen van de pagina met je vrienden

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
PDF-bestanden genereren met PHP
2
post-title
▷ Chrome installeren op Ubuntu 21.10 ✔️
3
post-title
PrestaShop - Centrale Blok
4
post-title
▷ PlayStation 5 updaten - PS5
5
post-title
Beste wifi-netwerkversterkers2021-2022

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -