Giới thiệu phần mềm Burp Suite

Burpsuite là một ứng dụng được tích hợp nhiều tính năng phục vụ kiểm tra bảo mật ứng dụng web. Các tính năng này sẽ phục vụ kiểm tra bảo mật các thành phần khác nhau trong ứng dụng web hiện đại ngày nay. Burpsuite có thể giúp người dùng đánh giá các tiêu chí bảo mật web như: Kiểm tra cơ chế xác thực, kiểm tra các vấn đề về phiên người dùng hoặc liệt kê và đánh giá các tham số đầu vào của ứng dụng web v.v… Chương trình không những hỗ trợ mạnh mẽ trong quy trình đánh giá bảo mật thủ công mà còn bao gồm công cụ quét lỗ hỗng bảo mật được tích hợp trong phiên bản có phí.

Burp được phát triển bởi Công ty PortSwigger Ltd và được phân phối thành hai phiên bản:

  • Burp Free
  • Burp Professional

Mặc dù trong phiên bản thương mại được tích hợp chức năng quét lỗ hổng ứng dụng tự động và một số tính năng nâng cao, tuy nhiên với sự kết hợp thành thạo các tính năng trong phiên bản miễn phí sẽ giúp người dùng tận dụng tối đa hiệu quả trong đánh giá bảo mật ứng dụng mà không cần đầu tư chi phí cho công cụ.

brupsuite_compare

Bảng so sánh tính năng trong các phiên bản

Hướng dẫn cấu hình cơ bản

Yêu cầu

Burp yêu cầu tài nguyên phần cứng tối thiểu như sau:

  • HDD trống 100MB, được dùng lưu trữ các tập tin tạm trong quá trình xử lý.
  • Bộ nhớ RAM 2GB
  • Hệ điều hành: Burp hỗ trợ trên các hệ điều hành Windows, Mac OSX và Linux.
  • Phần mềm hỗ trợ: Burp yêu cầu máy tính có cài đặt Oracle Java Runtime Environment (phiên bản 1.6 hoặc mới hơn).
  • Máy tính người dùng cần cài đặt thêm một số trình duyệt mới như Firefox, IE, Chrome, Chrome, Safari hoặc Opera. Khuyến cáo sử dụng Mozilla Firefox trong quá trình kiểm tra.

Tải chương trình Burpsuite

Người dùng có thể tải chương trình Burp tại liên kết http://portswigger.net/burp/download.html.

Burpsuite yêu cầu cài đặt Java trước khi thực thi. Tải và cài đặt Java tại liên kết: https://www.java.com/en/download/

Phiên bản miễn phí được khuyến nghị sử dụng trước khi bạn quyết định nên mua bản quyền thương mại với các tính năng nâng cao. Sau khi tải về máy tính, bạn sẽ ó tập tin JAR (Java Archive) có dạng burpsuite_free_v1.6.jar.

Khởi động và cấu hình cơ bản

Người dùng Windows có thể thực thi chương trình bằng cách mở tập tin burpsuite_free_v1.6.jar sau khi bảo đảm rằng Java Runtime đã được cài đặt trên máy tính.

burpsuite.1.6

Burpsuite Free 1.6

Kiểm tra hoạt động Burp

Burp Proxy đóng vai trò là chương trình trung chuyển các HTTP Request/Respone giữa trình duyệt và ứng dụng web, gọi là Intercepting Proxy. Burp cho phép người dùng toàn quyền điều khiển việc gởi/nhận dữ liệu HTTP/s đến máy chủ và trình duyệt phục vụ việc đánh giá bảo mật ứng dụng web một cách cụ thể cho từng lỗ hổng bảo mật.

burpsuite_config

Mô hình hoạt động Burp Proxy

Cấu hình tại Burp Proxy

Theo mặc định, Burp Proxy được cấu hình lắng nghe trên cổng 8080/TCP. Để kiểm tra chắc chắn rằng không có chương trình hoặc dịch vụ nào khác đang lắng nghe trên cùng cổng 8080/TCP, bạn thực hiện kiểm tra tại thẻ Proxy | Options.

brupsuite_proxy

Kiểm tra hoạt động Burp proxy

Cấu hình tại trình duyệt

Thực hiện cấu hình Proxy tại trình duyệt Firefox như ảnh minh họa

Cấu hình Proxy tại trình duyệt Firefox

Cấu hình Proxy tại trình duyệt Firefox

Cấu hình trình duyệt chuyển tiếp dữ liệu đến Burp Proxy

Cấu hình trình duyệt chuyển tiếp dữ liệu đến Burp Proxy

Tương tác với HTTP(S) Request/Respone

Tại bước này, bạn đã hoàn thành cơ bản cấu hình công cụ phục vụ kiểm tra ứng dụng web. Tại trình duyệt Firefox, bạn truy cập website http://btis.vn và  thực hiện tương tác các Request/Respone tại Burp, thẻ Proxy | Intercept

brupsuite_intercept

Các chức năng tại thẻ Intercept

Burp hỗ trợ giao thức HTTPS, một giao thức truyền dữ liệu đã được mã hóa từ trình duyệt và máy chủ. Ngày nay, HTTPS là một giao thức tiêu chuẩn bảo vệ đường truyền trong các web thương mại điện tử, ngân hàng trực tuyến và những dịch vụ có thông tin nhạy cảm. HTTPS chống lại dạng tấn công Man-in-the-middle làm rò rĩ các thông tin giữa người dùng và máy chủ web.

Trong mô hình đánh giá ứng dụng web có sử dụng giao thức HTTPS, Burp hoạt động như một đối tượng đứng giữa nhằm giải mã các dữ liệu HTTPS truyền qua nó. Đây là nguyên nhân bạn sẽ nhận được các cảnh báo an ninh tại trình duyệt do Certificate (được tạo ra bởi Burpsuite) không được tin tưởng bởi danh sách certificate authority.

Thực hiện kiểm tra tính năng này bằng cách truy cập https://github.com và so sánh Certificate trong trường hợp có và không sử dụng Burp proxy.

Certificate hợp lệ được cấp bời máy chủ web

Certificate hợp lệ được cấp bời máy chủ web

Certificate được cấp bởi Burp proxy

Certificate được cấp bởi Burp proxy

Nhằm bảo đảm bạn có thể thực hiện đánh giá bảo mật ứng dụng có sử dụng HTTPS, bạn cần thông báo cho phép trình duyệt sử dụng Certificate được cấp bởi PortSwigger.
Cho phép trình duyệt truyền dữ liệu HTTPS qua Burp proxy

Cho phép trình duyệt truyền dữ liệu HTTPS qua Burp proxy

Sừ dụng Burp Proxy truy cập website có hỗ trợ SSL certificate pinning

Một phương pháp khác sử dụng Burpsuite cho việc đánh giá các website thông qua SSL/TLS được trình duyệt hỗ trợ tin tưởng chứng thư số (SSL certificate pinning) thông qua việc cài đặt Burp CA Certificate. SSL certificate pinning là kỹ thuật được tích hợp rộng rãi vào các trình duyệt hiện đại ngày nay nhằm bảo đảm an toàn những ứng dụng web được sử dụng rộng rãi tại internet (ví dụ: Google, Gmail Facebook, Twitter), cơ chế này chống lại việc các kết nối an toàn bị thay thế bởi một cuộc tấn công man-in-the-middle sử dụng chứng thư số không an toàn khi đi qua môi trường mạng internet. Bằng cách cài đặt Burp CA Certificate, bạn đã thông báo đến trình duyệt về sự tin tưởng tuyệt đối các chứng thư số được tạo ra bởi PortSwigger CA khi sử dụng Burp.

ssl_untrusted

Người dùng không thể truy cập Gmail.com do sử dụng CA Certificate từ nhà cung cấp không được tin tưởng.

Để thực hiện cài đặt Burp CA Certificate tại trình duyệt Firefox, bạn thực hiện như ảnh minh họa sau:

Thực hiện truy cập http://burp tại thanh địa chỉ web, chọn CA Certificate và save tập tin cacert.der

Thực hiện Export Burp CA Certificate

Thực hiện Export Burp CA Certificate

Tại trình duyệt Firefox thực hiện Import CA Certificate như hình minh họa:
Thực hiện Import CA Certificate tại trình duyệt Firefox

Thực hiện Import CA Certificate tại trình duyệt Firefox

Import CA Certificate

Import CA Certificate

Sau khi hoàn tất, bạn có thể kiểm tra bằng cách truy cập Google.com hoặc Gmail.com và được trình duyệt thông báo đây là một kết nối tin tưởng, không còn các cảnh báo không cho phép truy cập máy chủ do sử dụng chứng thư số không an toàn.

burp_ca_certificate

Kết luận

Trong suốt thời gian thực hiện Đánh giả bảo mật ứng dụng web, chúng tôi nhận thấy Burp Suite là một công cụ mạnh mẽ trong việc hỗ trợ xác định các tham số, sitemap, các website liên quan, thu thập HTTP Request/Respone Header v.v… Bằng cách kết hợp các kỹ thuật đánh giá khác nhau vào công cụ Burp Suite, người dùng có thể tự phát triển thêm các mẫu tấn công mới mà không phụ thuộc vào nhà phát triển ứng dụng. Để cập nhật các bài viết về Burp Suite bạn có thể truy cập đường dẫn sau: //www.btis.vn/tag/burpsuite