Burp Suite i obsługa protokołu WebSocket w narzędziu Repeater

18 lipca 2019, 09:33 | Narzędzia, W biegu | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.
Osoby, które chcą poznać narzędzie Burp Suite odsyłamy do naszego 15-minutowego filmu wprowadzającego w temat.

W najnowszej wersji Burp Suite 2.1.01 pojawiła się obsługa WebSocket w Burp Repeater.

Wykorzystajmy poniższą aplikację, aby zobaczyć nową funkcjonalność w akcji.

Część serwerowa (nodejs):

Uruchomienie serwera (zakładamy, że nodejs jest już zainstalowany):

Część kliencka:

Z poziomu Burp Proxy (Proxy -> WebSockets history) możemy zobaczyć komunikację pomiędzy przeglądarką i serwerem:


Do tej pory możliwości Burpa w zakresie testowania komunikacji odbywającej się za pośrednictwem WebSocket były bardzo ograniczone. Sprowadzały się do przechwycenia zapytania (Proxy -> Intercept), modyfikacji i przesłania komunikatu dalej. Każdy kto choć chwilę spędził przy testowaniu aplikacji webowych doskonale wie, jak nieefektywne jest to podejście.

W najnowszej wersji Burp komunikaty WebSocket możemy wysyłać bezpośrednio z poziomu Burp Repeater:

Zapytanie wysłane z poziomu Burp Repeater:

Co ciekawe, jeśli połączenie jest aktywne, możemy wysłać komunikaty do klienta:

Widok po stronie przeglądarki:

— Dariusz Tytko, hakuje w Securitum.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz