Burp Suite – instrument modern de testare a securitatii web
Unul dintre cele mai importante tipuri de testare non-functionala (care nu vizeaza neaparat daca o aplicatie software functioneaza sau nu) este testarea securitatii. Acest subtip al testarii are rolul de a depista acele probleme si defecte care pot fi exploatate de catre persoane rau intentionate (black-hat hackeri, infractori cibernetici) cu scopul de a colecta date sensibile si de a provoca daune financiare sau de alta natura.
Pe masura ce aplicatiile software au devenit tot mai complexe, si problemele de securitate s-au diversificat, iar astazi siguranta online a datelor oamenilor nu mai este deloc un aspect optional, care sa poata fi trecut cu vederea. De aceea, e necesara folosirea unor instrumente speciale pe partea de identificare a bug-urilor de securitate, unul dintre acestea fiind Burp Suite.
Ce este Burp Suite?
Probabil unul dintre cele mai cunoscute si mai folosite tool-uri de testare a problemelor de securitate, Burp Suite este unul din produsele soft dezvoltate de compania PortSwigger, recunoscuta in domeniul securitatii de multi ani.
Prima iteratie a tool-ului Burp Suite a fost scrisa de Dafydd Stuttard si lansata propriu-zis in iunie 2003, deci acum 20 ani. La inceput, Burp avea doar cateva functionalitati inserate, precum Burp Proxy, Sock, Spider, si Repeater. Ulterior, odata cu trecerea timpului, Burp Suite a evoluat cu noi functii de testare, si a devenit aplicatia robusta din zilele noastre.
La momentul actual, compania PortSwigger are peste 70.000 clienti din care aproximativ 16.000 sunt companii, unele dintre ele extrem de cunoscute precum Google, Amazon, Microsoft, Barclays ori Samsung.
Din punct de vedere practic Burp Suite, principalul produs al PortSwigger, este o aplicatie pentru desktop, ce poate fi descarcata si folosita cu orice sistem de operare (Windows, MacOS, Linux), existand o varianta gratuita (Community edition), dar si variante platite (Professional / Enterprise editions). Varianta Professional costa 449$ / an, iar cea Enterprise (destinata companiilor) are un pricing variat.
Burp Suite poate fi de folos in special in zona de Penetration Testing, adica in acea zona in care incercam sa atacam unele aplicatii sau sa interceptam anumite fluxuri de date, pentru identificarea problemelor de securitate, atat in mediu profesional, cat si in zona de invatare personala.
Instalarea si configurarea Burp Suite
Pentru exersarea partii de security si penetration testing, am descarcat si instalat Burp Suite, versiunea Community edition de pe site-ul PortSwigger. Pentru a fi siguri ca descarcarea are loc fara probleme, recomand folosirea unui alt browser fata de Google Chrome si eventual stergerea memoriei cache inainte de descarcare.
Dupa ce se descarca pachetul de instalare, procedura este una simpla, nu trebuie decat sa alegem o locatie in computerul nostru unde vrem sa se instaleze Burp Suite si sa dam click succesiv pe Next si Finish.
Dupa ce s-a terminat instalarea, trebuie sa configuram tipul de proiect pe care vrem sa lucram. Aici exista 2 optiuni majore: proiect temporar (Temporary project) si proiecte permanente (Disk-based project). Dezavantajul in cazul de fata este acela ca versiunea Community ne ofera acces doar la proiecte temporare, adica modificarile nu se salveaza pe computer dupa ce inchidem aplicatia Burp.
Optiunea de proiecte permanente este disponibila doar in versiunile platite de Burp. Ulterior alegem daca pastram Burp Suite cu cerintele sale implicite (default) sau daca vrem sa aducem modificari, dar pentru inceput nu e cazul.
Dupa aceasta parte de configurare a proiectului, ni se deschide aplicatia propriu-zisa, unde avem Dasboard-ul, iar in partea superioara restul optiunilor si functiilor. O resursa foarte interesanta si utila pentru cei interesati este la sectiunea Learn, unde exista link-uri catre mai multe video-uri si tutoriale despre Burp si cum poate fi folosit acesta, puse la dispozitie gratuit de PortSwigger.
Exemplu de vulnerabilitate de securitate identificata cu Burp Suite
Un tip de problema pe partea de securitate a aplicatiilor web ce poate fi verificata si depistata cu ajutorul Burp Suite este IDOR, acronimul de la Insecure Direct Object Reference. Aceasta problema apare in acele softuri in care utilizatorii pot accesa direct obiectele / informatiile din aplicatie fara modalitati suplimentare de protectie, de autentificare sau autorizare.
Pentru exemplificare, am accesat din browser-ul virtual oferit de Burp Suite un website de test si am pornit din sectiunea Proxy optiunea de interceptare a request-urilor executate pe acesta. Burp Suite ne arata la sectiunea Inspector din meniul din dreapta date esentiale precum parametrii (query & body). Cu ajutorul acestui instrument, putem modifica acesti parametri pentru a vedea daca website-ul reactioneaza.
Astfel, am dat click sa editez numele celui de-al doilea user care are id-ul 561, si am modificat in sectiunea Request body parameters acest id cu cel al primului user (598), pentru a vedea daca numele acestuia se va schimba de fapt. In urma acestui mic test, a fost modificat numele primului user, ceea ce ne demonstreaza prezenta unui IDOR.
Cu tool-ul Burp Suite pot fi testate destul cazuri din zona de securitate, atat ca testare manuala, dar si pentru automatizarea totala sau partiala a unor scripturi care sa verifice mai rapid codul sursa, in vederea depistarii defectelor.
Avantaje si dezavantaje ale lui Burp Suite
Ca oricare alt instrument din lumea tehnologiei, si Burp Suite prezinta atat puncte tari, dar si minusuri, in acord cu ideea ca nicio tehnologie nu e perfecta 100%.
Probabil cel mai important avantaj al lui Burp este acela ca e unul din cele mai cunoscute si folosite astfel de instrumente din zona de security testing, ceea ce il crediteaza ca fiind un tool multifunctional, stabil si robust din perspectiva tehnica, oferind diverse functii si optiuni unui tester profesionist sau cuiva care invata despre testare.
Al doilea punct tare al acestuia este ca e un tool destul de versatil, configurat sa functioneze pe toate cele 3 sisteme de operare principale (Windows, MacOS, Linux), iar cerintele de sistem nu sunt chiar atat de ridicate, astfel incat poate fi folosit de foarte multi oameni, in diferite contexte.
Este destul de usor de instalat, nu necesita un setup avansat, si vine insotit de foarte multe resurse gratuite de invatare oferite de compania PortSwigger, atat pe blogul lor cat si pe canalul dedicat de Youtube, unde sunt explicate atat feature-uri din Burp Suite, cat si notiuni de cybersecurity.
Printre dezavantajele lui Burp Suite, cel mai evident este acela ca versiunea sa gratuita (Community edition) nu este la fel de bogata in functii de testare ca cele platite, ceea ce priveaza un simplu utilizator de lucruri mai complexe de executat.
De asemenea, versiunile platite sunt destul de scumpe pentru un simplu pasionat de testare, dar acest lucru trebuie mereu privit din perspectiva ideei de business a companiei, al carei scop general ramane cel de a face profit. Versiunea gratuita ramane o varianta buna pentru exersatul general si obinuitul cu astfel de vulnerabilitati precum IDOR.
Concluzii
In incheiere, Burp Suite este un instrument bun pentru a invata si ulterior a practica job-ul de pentester, fiind o aplicatie stabila, ce primeste constant imbunatatiri de-a lungul anului. Este destul de usor de folosit, iar resursele de invatare care vin la pachet cu Burp sunt extrem de folositoare pentru oricine doreste sa invete despre partea de security testing.
IDOR-ul este principala vulnerabilitate ce poate fi identificata cu Burp Suite, ca urmare a configurarii sale speciale ce ofera inspectia request-urilor ce sunt transmise pe o anumita pagina, in browser.
Surse consultate si suplimentare
Site-ul oficial al companiei PortSwigger, blogul si canalul de Youtube.
Istoria instrumentului Burp Suite
Resurse de invatare utile pe partea de cybersecurity
Daca vrei sa inveti despre testarea de securitate.
Imaginea de cover preluata de pe pagina LinkedIn a PortSwigger.