SlideShare una empresa de Scribd logo

Burp suite

Ammar WK
Ammar WK

Burp Suite adalah perangkat keamanan gratis yang berguna untuk melakukan pengujian penetrasi web. Terdiri dari beberapa alat seperti proxy, spider, intruder, repeater, sequencer, dan decoder yang memungkinkan penangkapan dan modifikasi lalu lintas jaringan serta otomatisasi uji coba serangan."

1 de 20
Descargar para leer sin conexión
Burp Suite 4 Pada BAB ini akan dibahas mengenai perangkat Burp Suite yaitu salah satu perangkat untuk melakukan web penetration testing. Ahmad Muammar, OSCP (C) 2013
Section 1 Burp Suite 1. Burp Suite Burp Suite adalah salah satu perangkat keamanan gratis yang sangat berguna dalam melakukan kegiatan web application se- curity atau untuk kegiatan penetration testing. Burp yang pada awalnya hanya merupakan aplikasi proxy server untuk melaku- kan intercept baik terhadap http-request ataupun http-response Daftar Isi ke server dan web aplikasi. Sampai versi terakhir 1.5 yang dapat diunduh di 1. Burp Suite http://portswigger.net/burp/download.html, burp yang dina- ! 1.1 Proxy makan suite juga berisikan tools-tools lain yang bermanfaat un- tuk kegiatan Web application security dan penetration testing. ! 1.2 Spider Burp Suite yang dikembangkan dnegan bahasa pemrograman ! 1.3 Intruder JAVA ini memiliki tools seperti proxy, spider, intruder, repeater, ! 1.4 Repeater sequencer, decoder, comparer untuk versi gratisnya. Serta Per- angkat untuk melakukan scanning vulnerabilities terhadap web ! 1.5 Sequencer aplikasi dengan perangkat scanner pada versi Professionalnya. ! 1.6 Decoder Dan berikut akan kita bahas secara singkat perangkat- perangkat yang terdapat pada Burp Suite, tetapi sebelum itu ! 1.7 Comparer berikut adalah beberapa hal yang perlu dikonfigurasikan pada ! 1.8 Scanner Burp Suite dan pada browser agar berjalan sempurna. ! 1.9 Extender 48
Secara default maka proxy listener akan berjalan di 127.0.0.1:8080, dan alamat ini yang perlu kita set pada browser yang akan kita pergunakan pada aktifitas web penetration test- ing nantinya. Gambar Aplikasi Burp Suite versi gratis Untuk memastikan Burp Suite bekerja, pastikan bahwa proxy Gambar Tab konfigurasi Proxy listeners dari burp berjalan sempurna maka periksa pada Tab Proxy dan tab Options, perhatikan pada bagian proxy-listeners Kemudian kita perlu untuk mengkonfigurasikan browser yang untuk di-cek dan running, begitu pula bagian Intercept Client Re- akan kita pergunakan, dan untuke mempermudah dalam mela- quest, dan pada beberapa kasus jika diperlukan juga melaku- kukan switch proxy, apabila kita menggunakan lebih dari 1 kan intercept Server Responses. proxy nantinya, maka untuk browser firefox atau chrome ada 49
add-os/extensions FoxyProxy yang dapat dipergunakan. Dan berikut ini adalah gambar untuk mengkonfigurasikan Burp proxy yang akan kita pergunakan nantinya. Gambar Memilih Burp sebagai Proxy Dan selanjutnya apabila kita mengakses suatu web maka akan di inter- cept oleh burp, dan kita dapat memodifikasinya sebelum meneruskan request tersebut ke web server dengan meng-click tombol Forward, seperti gambar berikut ini, Gambar Aplikasi Konfigurasi FoxyProxy Sehingga, untuk mempergunakannya kita tinggal memilih kon- figruasi untuk Burp proxy pada icon foxyproxy di firefox, seperti pada gambar berikut ini: Gambar saat kita mengakses web DVWA dan langsung di intercept burp 50
1.1 Proxy Perangkat utama dari Burp suite yang awalnya dikenal dengan Burp Proxy adalah aplikasi proxy server yang dapat kita konfigu- rasikan untuk melakukan intercept terhadap seluruh transaksi web. Seperti pada penjelasan sebelumnya maka kali ini kita akan mempergunakan aplikasi web DVWA (Damn Vulnerable Web Application) sebagai aplikasi yang akan kita test. Sebagaimana kita ketahui bahwa aplikasi DVWA memiliki be- berapa level yaitu low, medium dan high dan untuk merubah level tersebut kita harus login terlebih dahulu kemudian mengak- ses halaman security.php, jika tidak maka secara default level security dari aplikasi adalah “high”. Dengan memanfaatkan penggunaan burp maka kita akan mela- Gambar setelah kita meneruskan request dengan meng-click Forward button kukan modifikasi security level dari aplikasi yang ternyata di set lewat Cookie oleh aplikasi, sehingga security level milik kita akan langsung ter-set dengan level low. Adapun yang kita laku- kan adalah dengan melakukan intercept seperti gambar diba- wah ini 51
Gambar Request ke web dvwa, dan terlihat aplikasi men-set level security ke high Gambar Memodifikasi Cookie Sebelum kita mem-Forward request tersebut, maka kita dapat memodifikasi security level dari aplikasi, sehingga saat kita Dan seterusnya setiap request, kita harus memodifikasi sting login level security kita adalah low, seperti gambar berikut security menjadi low pada tiap request, sehingga saat kita login ke web aplikasi, level security yang kita punyai adalah low, seperti gambar berikut 52
1.2 Spider Perangkat kedua dari Burp Suite adalah “Spider”, perangkat ini berfungsi sebagai crawler yang akan secara aktif dan pasif me- lakukan crawling terhadap web aplikasi untuk mendapatkan data halaman web, direktori, bahkan melakukan submit form dan mendapatkan variabel. Spider dapat di konfigurasikan untuk mempergunakan scope yang terdefinisi terlebih dahulu, dengan tujuan fokus terhadap target, untuk menentukan scope, perlu didefinisikan pada Tab Taget seperti pad agambar berikut: Gambar saat login, sudah otomatis dengan security level: low Gambar Scope yang didefinisikan 53
Untuk mulai melakukan kegiatan crawling web aplikasi, maka 1.3 Intruder lakukan klik-kanan dan pilih opsi “Spider this host” seperti pada gambar dibawah ini: Perangkat yang ketiga dari kumpulan Suite pada Burp adalah Intruder. Intruder ini adalah perangkat yang yang bermanfaat untuk melakukan otomatisasi kegiatan yang ditemukan pada saat melakukan kegiatan penetration testing. Salah satu kegi- atan yang dapat dilakukan dengan memanfaatkan intruder ada- lah untuk melakukan HTTP based brute-forcing Gambar melakukan Spider terhadap URL tertentu. Dan kemudian akan terlihat bahwa spider berjalan, seiring berjalanya aktifitas crawl- Gambar Tab Intruder ing, maka nantinya pada Target akan bertambah pula direktori dan file yang terdapat pada list URL tersebut. Selanjutnya kita akan coba melakukan bruteforce terhadap web login pada aplikasi DVWA. Salah satu kelebihan dari aplikasi bruteforce ini adalah kita tidak perlu mengkonfigurasikan be- berapa hal yang umumnya kita konfigurasikan pada aplikasi bru- 54
teforce lainnya, semisal thc-hydra yaitu HTTP Method yang Kemudian mengirimkannya ke Intruder, dengan melakukan klik dipergunakan, kemudian error response dsb-nya. kanan pada seluruh request tersebut, seperti gambar berikut ini: Yang perlu kita lakukan adalah mendapatkan 1 request lengkap saat proses login terjadi, sebagai contoh mempergunakan user- name dan password sembarang, kemudian melakukan inter- cept pada proses tersebut seperti gambar berikut ini: Gambar pengiriman request login untuk bruteforce ke Intruder Selanjutnya adalah mengkonfigurasikan intruder untuk melaku- kan bruteforce terhadap halaman login tersebut memanfaatkan Gambar request login ke aplikasi DVWA full request yang sudah kita tandai. Sebelum itu pastikan host dan port serta protokol yang dipergunakan sudah benar (den- gan SSL (https) atau tidak), seperti pada gambar berikut ini. 55
Gambar pengiriman request login untuk bruteforce ke Intruder Gambar Posisi Payload dari full request yang kita kirim ke intruder Kemudian, kita akan mulai mengkonfigurasikan Intruder untuk Terdapat 5 Payload dengan 5 posisi pada request asli yang kita proses bruteforce. Hal selanjutnya yang harus kita lakukan ada- kirimkan, selanjutnya untuk menandai payload yang mana saja lah menandai payload, payload inilah nantinya yang akan dimo- serta posisinya untuk kita bruteforce, maka yang perlu kita laku- difikasi oleh intruder saat melakukan request. kan pertama adalah menghilangkan seluruh tanda lalu kemu- dian menandainya, hal ini dapat dilakukan dengan menggu- Terdapat beberapa tipe attack yang didukung oleh intruder dan nakan clear button. hal ini sangat terkait dengan payload yang akan kita tandai dan diberi posisi, seperti pada gambar berikut ini: Sehingga, seluruh payload belum tertandai seperti pada gam- bar berikut, 56
Gambar menandai payload dan posisinya Gambar Setelah kita melakukan clear payload positions Selanjutnya adalah menentukan tipe attack untuk payload, di- Selanjutnya, karena kita hanya ingin melakukan bruteforce ter- mana yang tersedia adalah sniper, battering ram, pitchfork dan hadap username dan password, maka kita hanya perlu menan- clusterbomb, ada baiknya membaca help untuk tiap-tiap attack dai payload 1 yaitu username yang dalam hal ini admin dan type payload positions sesuai dengan kebutuhan anda, tetapi payload 2 yaitu palsu sebagai password. Hal ini dapat kita laku- secara sederhana sniper dan battering ram hanya mendukung kan dengan mempergunakan Add button seperti pada gambar single set payload dan sudah pasti tidak dapat kita pergunakan berikut ini: karena payload yang kita butuhkan lebih dari satu payload. Hanya tersisa tipe attack pitchfork dan ClusterBomb, dan tipe attack yang terakhir memungkinkan seluruh kombinasi dari pay- 57
load di ujicobakan, sehingga kita akan memilih clusterbomb se- bagai tipe attack untuk payload positions seperti pada gambar berikut, Gambar memilih Attack Type Gambar mengkonfigurasikan simple list sebagai payload 2 Selanjutnya yang perlu kita lakukan adalah mengkonfigurasikan Seperti pada gambar diatas, kita mengkonfigurasikan payload payload, yang sampai proses ini kita membutuhkan 2 buah pay- dengan posisi nomer 2 yang nantinya akan menjadi password load, yaitu payload 1 untuk username dan payload 2 untuk pada proses bruteforce dengan intruder ini. Perlu diketahui password. bahwa pada versi free maka proses bruteforce akan memakan waktu lebih lama karena hanya bisa menggunakan 1 threads :). Dan untuk tipe payload, kita bisa memilih simple list dan me- Anda juga selanjutnya dapat mengkonfigurasikan proses brute- masukkan secara manual list tersebut satu-persatu dikare- force pada bagian Options. nakan hanya versi pro yang mengijinkan untuk kita melakukan penambahan dari list yang sudah ada seperti file kamus kata. 58
Untuk memulai melakukan bruteforce maka kita cukup memilih kan content-length, dan hal ini akan lebih mudah jika password menu intruder dan memilih start attack seperti pada gambar yang salah menghasilkan halaman yang sama (length sama), berikut, sedangkan apabila password yang salah menghasilkan content-length yang berbeda (dalam hal ini menampilkan user- name kembali saat gagal login) maka anda perlu mengkonfigu- rasikan intruder (tab options) untuk mempermudah menemukan password yang benar. Gambar memulai proses bruteforce Salah satu hal yang menarik adalah menentukan password Untuk DVWA ini kita berhasil melakukan bruteforce dengan in- yang benar, dikarenakan intruder ini memang kegunaannya un- truder dan mendapatkan username admin dan password seba- tuk melakukan automatisasi request dengan modifikasi, maka gai password, salah satu kelebihan lainnya kita tidak perlu untuk menentukan mana password yang benar dan salah salah mengkonfigurasikan cookie (seperti jika kita mempergunakan satu yang bisa kita pergunakan adalah dengan membanding- 59
hydra saat membruteforce login aplikasi dvwa) atau variable lainnya yang diperlukan untuk login. 1.4 Repeater Perangkat selanjutnya adalah Repeater, yang merupakan per- angkat sederhana untuk secara manual melakukan modifikasi (manipulasi) dan menjalankan single HTTP requests dan se- cara langsung mendapatkan response dari aplikasi. Untuk memanfaatkan repeater, sebagaimana penggunaan per- angkat lainnya, kita cuma perlu melakukan klik kanan dan men- girim request (Single) ke repeater, untuk kemudian dimodifikasi dan di kirimkan secara tersendiri. Untuk celah keamanan yang memungkinkan kita melakukan eksploitasi terkait hal ini adalah celah OS Command Injection, dan celah ini terdapat pada aplikasi DVWA, seperti pad a gam- Gambar request yang akan kita manipulasi secara terpisah dengan repeater bar berikut ini: Dan celah keamana yang akan kita eksploitasi adalah pada ha- laman /vulnerabilities/exec/index.php pada variable ip seperti pada gambar berikut ini, 60
Gambar eksploitasi celah keamanan OS Command Injection dengan repeater Gambar proses eksploitasi celah keamanan os command injection dnegan repeater Selanjutnya adalah kita tinggal menggonta-ganti request yang ada khususnya pada variable ip, dan hal ini akan mempermu- dah dan memberi banyak keleluasaan bagi kita dalam proses penetration testing, dibandingkan mempergunakan browser un- tuk tiap request. 61
1.5 Sequencer Perangkat ke-5 adalah sequencer, perangkat ini bermanfaat un- tuk melakukan proses analisa kualitas tingkat kerandoman dari beberapa sample data, sebagai contoh memeriksa session to- kens dari suatu aplikasi dsb. Sebagai contoh kita akan memeri- kas cookies dari aplikasi DVWA ini Gambar pemilihan lokasi token pada response yang akan dianalisa. Kemudian kita tinggal menjalankan Sequencer dengan menggu- nakan button Start Live Capture, kemudian akan tampil hala- man hasil analisa yang menunjukkan bahwa hasil tingkat keran- doman untuk token tersebut adalah excellent, seperti pada gam- bar berikut, Gambar pengiriman request ke sequencer Kemudian, token yang akan kita analisa adalah PHPSESSID seperti pad agambar berikut ini, 62
1.6 Decoder Perangkat selanjutnya adalah Decoder, perangkat ini sangat bermanfaat untuk melakukan decode terhadap berbagai jenis encode yang umum dipergunakan seperti URL, HTML, Base64, ASCII hex, Hex, Octal, Binary, dan GZIP serta juga mendukung encoding dengan tipe-tipe diatas juga. Selain itu perangkat decoder ini juga memiliki dukungan untuk melakukan Hashing dengan dukungan beberapa algoritma hash yang sudah umum, seperti: md5, md3, SHA, SHA -256, SHA-384, SHA-512 Gambar hasil analisa tingkat kerandoman dari token yang dipilih Gambar Penggunaan Decoder 63
1.7 Comparer dengan security level high pada aplikasi DVWA, seperti pada gambar berikut, Burp comparer adalah perangkat yang berfungsi untuk melaku- kan perbandingan, seperti aplikasi diff pada unix, tetapi dalam hal ini yang dibandingkan adalah antara HTTP request atau antara HTTP Response. Untuk mengirim ke comparer dapat melakukan click kanan item yang akan di compare kemudian dipilih request atau response-nya seperti pada gambar berikut Gambar melakukan compare 2 buah request Dari hasil perbandingan diatas kita mengetahui dan dapat mela- kukan modifikasi cookie untuk membuat security level kita low tanpa perlu melakukan set security pada aplikasi DVWA, seperti yang kita lakukan sebelumnya pada bagian proxy. Gambar Mengirimkan item ke Comparer Sebagai contoh pemanfaatan Comparer adalah kita melakukan perbandingan antara login dengan security level low dan login 64
1.8 Scanner & 1.9 Extender (Pro-Only) Perangkat selanjutnya yang terdapat pada Burp suite adalah Burp Scanner dan Burp Extender. Kedua perangkat ini hanya tersedia pada Burp dengan versi Pro, dan tidak akan di bahas secara mendetail pada e-book ini. Sedang untuk penggunaan Scanner kita tinggal melakukan klik- kanan dan memilih mode aktif atau pasif, tetapi sebaiknya kita mendefinisikan Scope terlebih dahulu serta melakukan crawl- ing web aplikasi dengan Spider. Gambar hasil penggunaan Burp Scanner untuk aplikasi dvwa Dari hasil ujicoba tingkat keberhasilan burp dalam mendeteksi celah keamanan relatif cukup baik, burp juga meminimalisir ha- sil false positive, selain itu metode scanning yang dilakukan Gambar Penggunaan Scanner burp juga memberikan tingkat lebih dalah berhadapan dengan Dan hasil dari penggunaan Burp Scanner akan terdapat pada perangkat keamanan web seperti IDS, IPS dan Web Applica- tab scanner, seperti contoh berikut ini adalah melakukan scan- tion Firewall. ning terhadap aplikasi dvwa. 65
Gambar validasi salah satu celah keamanan yang ditemukan Burp Scanner Burp Extender adalah salah satu fitur yang memungkinkan pengguna dan pengembang untuk mengembangkan penggu- naan dan fungsi dari Burp Suite, sebagai contoh adalah salah satu extender sqlmap untuk Burp Suite yang di buat dan dikem- bangkan oleh Daniel Garcia Gambar SQLMap Extender untuk Burp Suite 66

Recomendados

Dvwa low level
Dvwa low levelDvwa low level
Dvwa low levelhackstuff
 
Security Testing
Security TestingSecurity Testing
Security TestingKiran Kumar
 
Security testing
Security testingSecurity testing
Security testingRihab Chebbah
 
Time based CAPTCHA protected SQL injection through SOAP-webservice
Time based CAPTCHA protected SQL injection through SOAP-webserviceTime based CAPTCHA protected SQL injection through SOAP-webservice
Time based CAPTCHA protected SQL injection through SOAP-webserviceFrans Rosén
 
KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...
KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...
KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...MULTIMEDIA 'n BROADCASTING SMKN 1 PUNGGING MOJOKERTO
 
Security testing fundamentals
Security testing fundamentalsSecurity testing fundamentals
Security testing fundamentalsCygnet Infotech
 
A8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentationA8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentationAlbena Asenova-Belal
 
Security testing
Security testingSecurity testing
Security testingbaskar p
 

Recomendados

Dvwa low level
Dvwa low levelDvwa low level
Dvwa low levelhackstuff
 
Security Testing
Security TestingSecurity Testing
Security TestingKiran Kumar
 
Security testing
Security testingSecurity testing
Security testingRihab Chebbah
 
Time based CAPTCHA protected SQL injection through SOAP-webservice
Time based CAPTCHA protected SQL injection through SOAP-webserviceTime based CAPTCHA protected SQL injection through SOAP-webservice
Time based CAPTCHA protected SQL injection through SOAP-webserviceFrans Rosén
 
KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...
KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...
KOMPUTER DAN JARINGAN DASR KD : Menerapkan instalasi driver perangkat keras k...MULTIMEDIA 'n BROADCASTING SMKN 1 PUNGGING MOJOKERTO
 
Security testing fundamentals
Security testing fundamentalsSecurity testing fundamentals
Security testing fundamentalsCygnet Infotech
 
A8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentationA8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentationAlbena Asenova-Belal
 
Security testing
Security testingSecurity testing
Security testingbaskar p
 
Security Testing
Security TestingSecurity Testing
Security TestingQualitest
 
Code injection
Code injectionCode injection
Code injectionGayatri Patel
 
API Security in a Microservice Architecture
API Security in a Microservice ArchitectureAPI Security in a Microservice Architecture
API Security in a Microservice ArchitectureMatt McLarty
 
Lan chat system
Lan chat systemLan chat system
Lan chat systemWipro
 
Api Testing.pdf
Api Testing.pdfApi Testing.pdf
Api Testing.pdfJitendraYadav351971
 
Methods to Bypass a Web Application Firewall Eng
Methods to Bypass a Web Application Firewall EngMethods to Bypass a Web Application Firewall Eng
Methods to Bypass a Web Application Firewall EngDmitry Evteev
 
XSS Magic tricks
XSS Magic tricksXSS Magic tricks
XSS Magic tricksGarethHeyes
 
A Brief Introduction in SQL Injection
A Brief Introduction in SQL InjectionA Brief Introduction in SQL Injection
A Brief Introduction in SQL InjectionSina Manavi
 
Sql Injection - Vulnerability and Security
Sql Injection - Vulnerability and SecuritySql Injection - Vulnerability and Security
Sql Injection - Vulnerability and SecuritySandip Chaudhari
 
Cross Site Request Forgery
Cross Site Request ForgeryCross Site Request Forgery
Cross Site Request ForgeryTony Bibbs
 
Burp suite
Burp suiteBurp suite
Burp suiteYashar Shahinzadeh
 
How to identify and prevent SQL injection
How to identify and prevent SQL injection How to identify and prevent SQL injection
How to identify and prevent SQL injection Eguardian Global Services
 
XSS
XSSXSS
XSSHrishikesh Mishra
 
Building Advanced XSS Vectors
Building Advanced XSS VectorsBuilding Advanced XSS Vectors
Building Advanced XSS VectorsRodolfo Assis (Brute)
 
API Test Automation using Karate.pdf
API Test Automation using Karate.pdfAPI Test Automation using Karate.pdf
API Test Automation using Karate.pdfVenessa Serrao
 
【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain AttackHacks in Taiwan (HITCON)
 
Spring Security 3
Spring Security 3Spring Security 3
Spring Security 3Jason Ferguson
 
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016Frans Rosén
 
Security Testing Mobile Applications
Security Testing Mobile ApplicationsSecurity Testing Mobile Applications
Security Testing Mobile ApplicationsDenim Group
 
Secure Code Warrior - Cross site scripting
Secure Code Warrior - Cross site scriptingSecure Code Warrior - Cross site scripting
Secure Code Warrior - Cross site scriptingSecure Code Warrior
 
Burpsuite yara
Burpsuite yaraBurpsuite yara
Burpsuite yaraRinaldi Rampen
 
Hacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteHacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteAmmar WK
 

Más contenido relacionado

La actualidad más candente

Security Testing
Security TestingSecurity Testing
Security TestingQualitest
 
API Security in a Microservice Architecture
API Security in a Microservice ArchitectureAPI Security in a Microservice Architecture
API Security in a Microservice ArchitectureMatt McLarty
 
Lan chat system
Lan chat systemLan chat system
Lan chat systemWipro
 
Methods to Bypass a Web Application Firewall Eng
Methods to Bypass a Web Application Firewall EngMethods to Bypass a Web Application Firewall Eng
Methods to Bypass a Web Application Firewall EngDmitry Evteev
 
XSS Magic tricks
XSS Magic tricksXSS Magic tricks
XSS Magic tricksGarethHeyes
 
A Brief Introduction in SQL Injection
A Brief Introduction in SQL InjectionA Brief Introduction in SQL Injection
A Brief Introduction in SQL InjectionSina Manavi
 
Sql Injection - Vulnerability and Security
Sql Injection - Vulnerability and SecuritySql Injection - Vulnerability and Security
Sql Injection - Vulnerability and SecuritySandip Chaudhari
 
Cross Site Request Forgery
Cross Site Request ForgeryCross Site Request Forgery
Cross Site Request ForgeryTony Bibbs
 
API Test Automation using Karate.pdf
API Test Automation using Karate.pdfAPI Test Automation using Karate.pdf
API Test Automation using Karate.pdfVenessa Serrao
 
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016Frans Rosén
 
Security Testing Mobile Applications
Security Testing Mobile ApplicationsSecurity Testing Mobile Applications
Security Testing Mobile ApplicationsDenim Group
 
Secure Code Warrior - Cross site scripting
Secure Code Warrior - Cross site scriptingSecure Code Warrior - Cross site scripting
Secure Code Warrior - Cross site scriptingSecure Code Warrior
 

La actualidad más candente (20)

Security Testing
Security TestingSecurity Testing
Security Testing
 
Code injection
Code injectionCode injection
Code injection
 
API Security in a Microservice Architecture
API Security in a Microservice ArchitectureAPI Security in a Microservice Architecture
API Security in a Microservice Architecture
 
Lan chat system
Lan chat systemLan chat system
Lan chat system
 
Api Testing.pdf
Api Testing.pdfApi Testing.pdf
Api Testing.pdf
 
Methods to Bypass a Web Application Firewall Eng
Methods to Bypass a Web Application Firewall EngMethods to Bypass a Web Application Firewall Eng
Methods to Bypass a Web Application Firewall Eng
 
XSS Magic tricks
XSS Magic tricksXSS Magic tricks
XSS Magic tricks
 
A Brief Introduction in SQL Injection
A Brief Introduction in SQL InjectionA Brief Introduction in SQL Injection
A Brief Introduction in SQL Injection
 
Sql Injection - Vulnerability and Security
Sql Injection - Vulnerability and SecuritySql Injection - Vulnerability and Security
Sql Injection - Vulnerability and Security
 
Cross Site Request Forgery
Cross Site Request ForgeryCross Site Request Forgery
Cross Site Request Forgery
 
Burp suite
Burp suiteBurp suite
Burp suite
 
How to identify and prevent SQL injection
How to identify and prevent SQL injection How to identify and prevent SQL injection
How to identify and prevent SQL injection
 
XSS
XSSXSS
XSS
 
Building Advanced XSS Vectors
Building Advanced XSS VectorsBuilding Advanced XSS Vectors
Building Advanced XSS Vectors
 
API Test Automation using Karate.pdf
API Test Automation using Karate.pdfAPI Test Automation using Karate.pdf
API Test Automation using Karate.pdf
 
【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack
 
Spring Security 3
Spring Security 3Spring Security 3
Spring Security 3
 
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
 
Security Testing Mobile Applications
Security Testing Mobile ApplicationsSecurity Testing Mobile Applications
Security Testing Mobile Applications
 
Secure Code Warrior - Cross site scripting
Secure Code Warrior - Cross site scriptingSecure Code Warrior - Cross site scripting
Secure Code Warrior - Cross site scripting
 

Destacado

Hacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteHacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteAmmar WK
 
ITCamp 2012 - Mihai Nadas - Tackling the single sign-on challenge
ITCamp 2012 - Mihai Nadas - Tackling the single sign-on challengeITCamp 2012 - Mihai Nadas - Tackling the single sign-on challenge
ITCamp 2012 - Mihai Nadas - Tackling the single sign-on challengeITCamp
 
How to Launch a Web Security Service in an Hour
How to Launch a Web Security Service in an HourHow to Launch a Web Security Service in an Hour
How to Launch a Web Security Service in an HourCyren, Inc
 
Pyscho-Strategies for Social Engineering
Pyscho-Strategies for Social EngineeringPyscho-Strategies for Social Engineering
Pyscho-Strategies for Social EngineeringIshan Girdhar
 
Cusomizing Burp Suite - Getting the Most out of Burp Extensions
Cusomizing Burp Suite - Getting the Most out of Burp ExtensionsCusomizing Burp Suite - Getting the Most out of Burp Extensions
Cusomizing Burp Suite - Getting the Most out of Burp ExtensionsAugust Detlefsen
 
Windows Azure Versioning Strategies
Windows Azure Versioning StrategiesWindows Azure Versioning Strategies
Windows Azure Versioning StrategiesPavel Revenkov
 
Wcf security session 1
Wcf security session 1Wcf security session 1
Wcf security session 1Anil Kumar M
 
Burp plugin development for java n00bs (44 con)
Burp plugin development for java n00bs (44 con)Burp plugin development for java n00bs (44 con)
Burp plugin development for java n00bs (44 con)Marc Wickenden
 
Basics of WCF and its Security
Basics of WCF and its SecurityBasics of WCF and its Security
Basics of WCF and its SecurityMindfire Solutions
 
Pentesting With Web Services in 2012
Pentesting With Web Services in 2012Pentesting With Web Services in 2012
Pentesting With Web Services in 2012Ishan Girdhar
 
WCF Security, FSec
WCF Security, FSecWCF Security, FSec
WCF Security, FSecAnte Gulam
 
Mobile hacking, pentest, and malware
Mobile hacking, pentest, and malwareMobile hacking, pentest, and malware
Mobile hacking, pentest, and malwareAmmar WK
 
Pentesting RESTful webservices
Pentesting RESTful webservicesPentesting RESTful webservices
Pentesting RESTful webservicesMohammed A. Imran
 
backdooring workshop
backdooring workshopbackdooring workshop
backdooring workshopAmmar WK
 
Workshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemWorkshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemDan H
 
Web Hacking (basic)
Web Hacking (basic)Web Hacking (basic)
Web Hacking (basic)Ammar WK
 

Destacado (20)

Burpsuite yara
Burpsuite yaraBurpsuite yara
Burpsuite yara
 
Hacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteHacker? : it's not about Black or White
Hacker? : it's not about Black or White
 
Paypal-IPN
Paypal-IPNPaypal-IPN
Paypal-IPN
 
ITCamp 2012 - Mihai Nadas - Tackling the single sign-on challenge
ITCamp 2012 - Mihai Nadas - Tackling the single sign-on challengeITCamp 2012 - Mihai Nadas - Tackling the single sign-on challenge
ITCamp 2012 - Mihai Nadas - Tackling the single sign-on challenge
 
How to Launch a Web Security Service in an Hour
How to Launch a Web Security Service in an HourHow to Launch a Web Security Service in an Hour
How to Launch a Web Security Service in an Hour
 
Pyscho-Strategies for Social Engineering
Pyscho-Strategies for Social EngineeringPyscho-Strategies for Social Engineering
Pyscho-Strategies for Social Engineering
 
Cusomizing Burp Suite - Getting the Most out of Burp Extensions
Cusomizing Burp Suite - Getting the Most out of Burp ExtensionsCusomizing Burp Suite - Getting the Most out of Burp Extensions
Cusomizing Burp Suite - Getting the Most out of Burp Extensions
 
Windows Azure Versioning Strategies
Windows Azure Versioning StrategiesWindows Azure Versioning Strategies
Windows Azure Versioning Strategies
 
Wcf security session 1
Wcf security session 1Wcf security session 1
Wcf security session 1
 
Burp plugin development for java n00bs (44 con)
Burp plugin development for java n00bs (44 con)Burp plugin development for java n00bs (44 con)
Burp plugin development for java n00bs (44 con)
 
Web Service Security
Web Service SecurityWeb Service Security
Web Service Security
 
Basics of WCF and its Security
Basics of WCF and its SecurityBasics of WCF and its Security
Basics of WCF and its Security
 
Pentesting With Web Services in 2012
Pentesting With Web Services in 2012Pentesting With Web Services in 2012
Pentesting With Web Services in 2012
 
WCF Security, FSec
WCF Security, FSecWCF Security, FSec
WCF Security, FSec
 
Mobile hacking, pentest, and malware
Mobile hacking, pentest, and malwareMobile hacking, pentest, and malware
Mobile hacking, pentest, and malware
 
Pentesting RESTful webservices
Pentesting RESTful webservicesPentesting RESTful webservices
Pentesting RESTful webservices
 
backdooring workshop
backdooring workshopbackdooring workshop
backdooring workshop
 
Workshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemWorkshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment system
 
Web Hacking (basic)
Web Hacking (basic)Web Hacking (basic)
Web Hacking (basic)
 
Intro to IronWASP
Intro to IronWASPIntro to IronWASP
Intro to IronWASP
 

Similar a Burp suite

Configuring Nginx as Reverse Proxy and Load Balancing Web Application
Configuring Nginx as Reverse Proxy and Load Balancing Web ApplicationConfiguring Nginx as Reverse Proxy and Load Balancing Web Application
Configuring Nginx as Reverse Proxy and Load Balancing Web ApplicationJagoan Neon
 
codeigniter subversion
codeigniter subversioncodeigniter subversion
codeigniter subversionAndri Yabu
 
Membagi banwidth secara adil dengan soft perfect bandwidth manager
Membagi banwidth secara adil dengan soft perfect bandwidth managerMembagi banwidth secara adil dengan soft perfect bandwidth manager
Membagi banwidth secara adil dengan soft perfect bandwidth managerOperator Warnet Vast Raha
 
Konfigurasi proxy dan webserver di clear os
Konfigurasi proxy dan webserver di clear osKonfigurasi proxy dan webserver di clear os
Konfigurasi proxy dan webserver di clear osHarry Setya Hadi
 
Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...
Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...
Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...Bengkel Sedekah
 
konfigurasi web server
konfigurasi web serverkonfigurasi web server
konfigurasi web serverMuhammad Anang
 
Article Pengenalan Konsep Xml Web Services
Article Pengenalan Konsep Xml Web ServicesArticle Pengenalan Konsep Xml Web Services
Article Pengenalan Konsep Xml Web ServicesFredy Budimansyah
 
configurasi mikrotik fundamentals
configurasi mikrotik fundamentals configurasi mikrotik fundamentals
configurasi mikrotik fundamentals indrioktaviani7
 
Buku tutorial visual basic 6
Buku tutorial visual basic 6Buku tutorial visual basic 6
Buku tutorial visual basic 6Nie Andini
 
Jobsheet Raspberry PI Tingkat 2.pdf
Jobsheet Raspberry PI Tingkat 2.pdfJobsheet Raspberry PI Tingkat 2.pdf
Jobsheet Raspberry PI Tingkat 2.pdfkasiyanto3
 

Similar a Burp suite (20)

Bypass
BypassBypass
Bypass
 
Configuring Nginx as Reverse Proxy and Load Balancing Web Application
Configuring Nginx as Reverse Proxy and Load Balancing Web ApplicationConfiguring Nginx as Reverse Proxy and Load Balancing Web Application
Configuring Nginx as Reverse Proxy and Load Balancing Web Application
 
Squid indonesia
Squid indonesiaSquid indonesia
Squid indonesia
 
Modul 8 squid
Modul 8 squidModul 8 squid
Modul 8 squid
 
codeigniter subversion
codeigniter subversioncodeigniter subversion
codeigniter subversion
 
web-security
web-securityweb-security
web-security
 
Teknologi Aplikasi Web Berbasis Server
Teknologi Aplikasi Web Berbasis ServerTeknologi Aplikasi Web Berbasis Server
Teknologi Aplikasi Web Berbasis Server
 
Membagi banwidth secara adil dengan soft perfect bandwidth manager
Membagi banwidth secara adil dengan soft perfect bandwidth managerMembagi banwidth secara adil dengan soft perfect bandwidth manager
Membagi banwidth secara adil dengan soft perfect bandwidth manager
 
Konfigurasi proxy dan webserver di clear os
Konfigurasi proxy dan webserver di clear osKonfigurasi proxy dan webserver di clear os
Konfigurasi proxy dan webserver di clear os
 
Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...
Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...
Step by step konfigurasi auto update ip public dynamic dengan freeddns pada m...
 
Dasar Virtualisasi
Dasar VirtualisasiDasar Virtualisasi
Dasar Virtualisasi
 
Uts
UtsUts
Uts
 
pemrograman web
pemrograman webpemrograman web
pemrograman web
 
Proxy server
Proxy serverProxy server
Proxy server
 
konfigurasi web server
konfigurasi web serverkonfigurasi web server
konfigurasi web server
 
Article Pengenalan Konsep Xml Web Services
Article Pengenalan Konsep Xml Web ServicesArticle Pengenalan Konsep Xml Web Services
Article Pengenalan Konsep Xml Web Services
 
configurasi mikrotik fundamentals
configurasi mikrotik fundamentals configurasi mikrotik fundamentals
configurasi mikrotik fundamentals
 
JARINGAN NTERNET LANJUT
JARINGAN NTERNET LANJUTJARINGAN NTERNET LANJUT
JARINGAN NTERNET LANJUT
 
Buku tutorial visual basic 6
Buku tutorial visual basic 6Buku tutorial visual basic 6
Buku tutorial visual basic 6
 
Jobsheet Raspberry PI Tingkat 2.pdf
Jobsheet Raspberry PI Tingkat 2.pdfJobsheet Raspberry PI Tingkat 2.pdf
Jobsheet Raspberry PI Tingkat 2.pdf
 

Más de Ammar WK

Vvdp-fgd-bssn
Vvdp-fgd-bssnVvdp-fgd-bssn
Vvdp-fgd-bssnAmmar WK
 
Pen-testing is Dead?
Pen-testing is Dead?Pen-testing is Dead?
Pen-testing is Dead?Ammar WK
 
How To [relatively] Secure your Web Applications
How To [relatively] Secure your Web ApplicationsHow To [relatively] Secure your Web Applications
How To [relatively] Secure your Web ApplicationsAmmar WK
 
A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!Ammar WK
 
Cybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industryCybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industryAmmar WK
 
Bugbounty vs-0day
Bugbounty vs-0dayBugbounty vs-0day
Bugbounty vs-0dayAmmar WK
 
Advanced Persistent Threat
Advanced Persistent ThreatAdvanced Persistent Threat
Advanced Persistent ThreatAmmar WK
 
Introduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration TestingIntroduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration TestingAmmar WK
 
Network Packet Analysis
Network Packet AnalysisNetwork Packet Analysis
Network Packet AnalysisAmmar WK
 
Packet analysis (Basic)
Packet analysis (Basic)Packet analysis (Basic)
Packet analysis (Basic)Ammar WK
 
Network security
Network securityNetwork security
Network securityAmmar WK
 
Penetration testing
Penetration testingPenetration testing
Penetration testingAmmar WK
 
Information Security Professional
Information Security ProfessionalInformation Security Professional
Information Security ProfessionalAmmar WK
 
Handout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dipsHandout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dipsAmmar WK
 
Layer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigationLayer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigationAmmar WK
 
How To Become A Hacker
How To Become A HackerHow To Become A Hacker
How To Become A HackerAmmar WK
 
y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?Ammar WK
 
idsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 networkidsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 networkAmmar WK
 
Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008Ammar WK
 
Attacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and ProfitAttacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and ProfitAmmar WK
 

Más de Ammar WK (20)

Vvdp-fgd-bssn
Vvdp-fgd-bssnVvdp-fgd-bssn
Vvdp-fgd-bssn
 
Pen-testing is Dead?
Pen-testing is Dead?Pen-testing is Dead?
Pen-testing is Dead?
 
How To [relatively] Secure your Web Applications
How To [relatively] Secure your Web ApplicationsHow To [relatively] Secure your Web Applications
How To [relatively] Secure your Web Applications
 
A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!
 
Cybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industryCybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industry
 
Bugbounty vs-0day
Bugbounty vs-0dayBugbounty vs-0day
Bugbounty vs-0day
 
Advanced Persistent Threat
Advanced Persistent ThreatAdvanced Persistent Threat
Advanced Persistent Threat
 
Introduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration TestingIntroduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration Testing
 
Network Packet Analysis
Network Packet AnalysisNetwork Packet Analysis
Network Packet Analysis
 
Packet analysis (Basic)
Packet analysis (Basic)Packet analysis (Basic)
Packet analysis (Basic)
 
Network security
Network securityNetwork security
Network security
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Information Security Professional
Information Security ProfessionalInformation Security Professional
Information Security Professional
 
Handout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dipsHandout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dips
 
Layer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigationLayer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigation
 
How To Become A Hacker
How To Become A HackerHow To Become A Hacker
How To Become A Hacker
 
y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?
 
idsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 networkidsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 network
 
Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008
 
Attacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and ProfitAttacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and Profit
 

Burp suite

  • 1. Burp Suite 4 Pada BAB ini akan dibahas mengenai perangkat Burp Suite yaitu salah satu perangkat untuk melakukan web penetration testing. Ahmad Muammar, OSCP (C) 2013
  • 2. Section 1 Burp Suite 1. Burp Suite Burp Suite adalah salah satu perangkat keamanan gratis yang sangat berguna dalam melakukan kegiatan web application se- curity atau untuk kegiatan penetration testing. Burp yang pada awalnya hanya merupakan aplikasi proxy server untuk melaku- kan intercept baik terhadap http-request ataupun http-response Daftar Isi ke server dan web aplikasi. Sampai versi terakhir 1.5 yang dapat diunduh di 1. Burp Suite http://portswigger.net/burp/download.html, burp yang dina- ! 1.1 Proxy makan suite juga berisikan tools-tools lain yang bermanfaat un- tuk kegiatan Web application security dan penetration testing. ! 1.2 Spider Burp Suite yang dikembangkan dnegan bahasa pemrograman ! 1.3 Intruder JAVA ini memiliki tools seperti proxy, spider, intruder, repeater, ! 1.4 Repeater sequencer, decoder, comparer untuk versi gratisnya. Serta Per- angkat untuk melakukan scanning vulnerabilities terhadap web ! 1.5 Sequencer aplikasi dengan perangkat scanner pada versi Professionalnya. ! 1.6 Decoder Dan berikut akan kita bahas secara singkat perangkat- perangkat yang terdapat pada Burp Suite, tetapi sebelum itu ! 1.7 Comparer berikut adalah beberapa hal yang perlu dikonfigurasikan pada ! 1.8 Scanner Burp Suite dan pada browser agar berjalan sempurna. ! 1.9 Extender 48
  • 3. Secara default maka proxy listener akan berjalan di 127.0.0.1:8080, dan alamat ini yang perlu kita set pada browser yang akan kita pergunakan pada aktifitas web penetration test- ing nantinya. Gambar Aplikasi Burp Suite versi gratis Untuk memastikan Burp Suite bekerja, pastikan bahwa proxy Gambar Tab konfigurasi Proxy listeners dari burp berjalan sempurna maka periksa pada Tab Proxy dan tab Options, perhatikan pada bagian proxy-listeners Kemudian kita perlu untuk mengkonfigurasikan browser yang untuk di-cek dan running, begitu pula bagian Intercept Client Re- akan kita pergunakan, dan untuke mempermudah dalam mela- quest, dan pada beberapa kasus jika diperlukan juga melaku- kukan switch proxy, apabila kita menggunakan lebih dari 1 kan intercept Server Responses. proxy nantinya, maka untuk browser firefox atau chrome ada 49
  • 4. add-os/extensions FoxyProxy yang dapat dipergunakan. Dan berikut ini adalah gambar untuk mengkonfigurasikan Burp proxy yang akan kita pergunakan nantinya. Gambar Memilih Burp sebagai Proxy Dan selanjutnya apabila kita mengakses suatu web maka akan di inter- cept oleh burp, dan kita dapat memodifikasinya sebelum meneruskan request tersebut ke web server dengan meng-click tombol Forward, seperti gambar berikut ini, Gambar Aplikasi Konfigurasi FoxyProxy Sehingga, untuk mempergunakannya kita tinggal memilih kon- figruasi untuk Burp proxy pada icon foxyproxy di firefox, seperti pada gambar berikut ini: Gambar saat kita mengakses web DVWA dan langsung di intercept burp 50
  • 5. 1.1 Proxy Perangkat utama dari Burp suite yang awalnya dikenal dengan Burp Proxy adalah aplikasi proxy server yang dapat kita konfigu- rasikan untuk melakukan intercept terhadap seluruh transaksi web. Seperti pada penjelasan sebelumnya maka kali ini kita akan mempergunakan aplikasi web DVWA (Damn Vulnerable Web Application) sebagai aplikasi yang akan kita test. Sebagaimana kita ketahui bahwa aplikasi DVWA memiliki be- berapa level yaitu low, medium dan high dan untuk merubah level tersebut kita harus login terlebih dahulu kemudian mengak- ses halaman security.php, jika tidak maka secara default level security dari aplikasi adalah “high”. Dengan memanfaatkan penggunaan burp maka kita akan mela- Gambar setelah kita meneruskan request dengan meng-click Forward button kukan modifikasi security level dari aplikasi yang ternyata di set lewat Cookie oleh aplikasi, sehingga security level milik kita akan langsung ter-set dengan level low. Adapun yang kita laku- kan adalah dengan melakukan intercept seperti gambar diba- wah ini 51
  • 6. Gambar Request ke web dvwa, dan terlihat aplikasi men-set level security ke high Gambar Memodifikasi Cookie Sebelum kita mem-Forward request tersebut, maka kita dapat memodifikasi security level dari aplikasi, sehingga saat kita Dan seterusnya setiap request, kita harus memodifikasi sting login level security kita adalah low, seperti gambar berikut security menjadi low pada tiap request, sehingga saat kita login ke web aplikasi, level security yang kita punyai adalah low, seperti gambar berikut 52
  • 7. 1.2 Spider Perangkat kedua dari Burp Suite adalah “Spider”, perangkat ini berfungsi sebagai crawler yang akan secara aktif dan pasif me- lakukan crawling terhadap web aplikasi untuk mendapatkan data halaman web, direktori, bahkan melakukan submit form dan mendapatkan variabel. Spider dapat di konfigurasikan untuk mempergunakan scope yang terdefinisi terlebih dahulu, dengan tujuan fokus terhadap target, untuk menentukan scope, perlu didefinisikan pada Tab Taget seperti pad agambar berikut: Gambar saat login, sudah otomatis dengan security level: low Gambar Scope yang didefinisikan 53
  • 8. Untuk mulai melakukan kegiatan crawling web aplikasi, maka 1.3 Intruder lakukan klik-kanan dan pilih opsi “Spider this host” seperti pada gambar dibawah ini: Perangkat yang ketiga dari kumpulan Suite pada Burp adalah Intruder. Intruder ini adalah perangkat yang yang bermanfaat untuk melakukan otomatisasi kegiatan yang ditemukan pada saat melakukan kegiatan penetration testing. Salah satu kegi- atan yang dapat dilakukan dengan memanfaatkan intruder ada- lah untuk melakukan HTTP based brute-forcing Gambar melakukan Spider terhadap URL tertentu. Dan kemudian akan terlihat bahwa spider berjalan, seiring berjalanya aktifitas crawl- Gambar Tab Intruder ing, maka nantinya pada Target akan bertambah pula direktori dan file yang terdapat pada list URL tersebut. Selanjutnya kita akan coba melakukan bruteforce terhadap web login pada aplikasi DVWA. Salah satu kelebihan dari aplikasi bruteforce ini adalah kita tidak perlu mengkonfigurasikan be- berapa hal yang umumnya kita konfigurasikan pada aplikasi bru- 54
  • 9. teforce lainnya, semisal thc-hydra yaitu HTTP Method yang Kemudian mengirimkannya ke Intruder, dengan melakukan klik dipergunakan, kemudian error response dsb-nya. kanan pada seluruh request tersebut, seperti gambar berikut ini: Yang perlu kita lakukan adalah mendapatkan 1 request lengkap saat proses login terjadi, sebagai contoh mempergunakan user- name dan password sembarang, kemudian melakukan inter- cept pada proses tersebut seperti gambar berikut ini: Gambar pengiriman request login untuk bruteforce ke Intruder Selanjutnya adalah mengkonfigurasikan intruder untuk melaku- kan bruteforce terhadap halaman login tersebut memanfaatkan Gambar request login ke aplikasi DVWA full request yang sudah kita tandai. Sebelum itu pastikan host dan port serta protokol yang dipergunakan sudah benar (den- gan SSL (https) atau tidak), seperti pada gambar berikut ini. 55
  • 10. Gambar pengiriman request login untuk bruteforce ke Intruder Gambar Posisi Payload dari full request yang kita kirim ke intruder Kemudian, kita akan mulai mengkonfigurasikan Intruder untuk Terdapat 5 Payload dengan 5 posisi pada request asli yang kita proses bruteforce. Hal selanjutnya yang harus kita lakukan ada- kirimkan, selanjutnya untuk menandai payload yang mana saja lah menandai payload, payload inilah nantinya yang akan dimo- serta posisinya untuk kita bruteforce, maka yang perlu kita laku- difikasi oleh intruder saat melakukan request. kan pertama adalah menghilangkan seluruh tanda lalu kemu- dian menandainya, hal ini dapat dilakukan dengan menggu- Terdapat beberapa tipe attack yang didukung oleh intruder dan nakan clear button. hal ini sangat terkait dengan payload yang akan kita tandai dan diberi posisi, seperti pada gambar berikut ini: Sehingga, seluruh payload belum tertandai seperti pada gam- bar berikut, 56
  • 11. Gambar menandai payload dan posisinya Gambar Setelah kita melakukan clear payload positions Selanjutnya adalah menentukan tipe attack untuk payload, di- Selanjutnya, karena kita hanya ingin melakukan bruteforce ter- mana yang tersedia adalah sniper, battering ram, pitchfork dan hadap username dan password, maka kita hanya perlu menan- clusterbomb, ada baiknya membaca help untuk tiap-tiap attack dai payload 1 yaitu username yang dalam hal ini admin dan type payload positions sesuai dengan kebutuhan anda, tetapi payload 2 yaitu palsu sebagai password. Hal ini dapat kita laku- secara sederhana sniper dan battering ram hanya mendukung kan dengan mempergunakan Add button seperti pada gambar single set payload dan sudah pasti tidak dapat kita pergunakan berikut ini: karena payload yang kita butuhkan lebih dari satu payload. Hanya tersisa tipe attack pitchfork dan ClusterBomb, dan tipe attack yang terakhir memungkinkan seluruh kombinasi dari pay- 57
  • 12. load di ujicobakan, sehingga kita akan memilih clusterbomb se- bagai tipe attack untuk payload positions seperti pada gambar berikut, Gambar memilih Attack Type Gambar mengkonfigurasikan simple list sebagai payload 2 Selanjutnya yang perlu kita lakukan adalah mengkonfigurasikan Seperti pada gambar diatas, kita mengkonfigurasikan payload payload, yang sampai proses ini kita membutuhkan 2 buah pay- dengan posisi nomer 2 yang nantinya akan menjadi password load, yaitu payload 1 untuk username dan payload 2 untuk pada proses bruteforce dengan intruder ini. Perlu diketahui password. bahwa pada versi free maka proses bruteforce akan memakan waktu lebih lama karena hanya bisa menggunakan 1 threads :). Dan untuk tipe payload, kita bisa memilih simple list dan me- Anda juga selanjutnya dapat mengkonfigurasikan proses brute- masukkan secara manual list tersebut satu-persatu dikare- force pada bagian Options. nakan hanya versi pro yang mengijinkan untuk kita melakukan penambahan dari list yang sudah ada seperti file kamus kata. 58
  • 13. Untuk memulai melakukan bruteforce maka kita cukup memilih kan content-length, dan hal ini akan lebih mudah jika password menu intruder dan memilih start attack seperti pada gambar yang salah menghasilkan halaman yang sama (length sama), berikut, sedangkan apabila password yang salah menghasilkan content-length yang berbeda (dalam hal ini menampilkan user- name kembali saat gagal login) maka anda perlu mengkonfigu- rasikan intruder (tab options) untuk mempermudah menemukan password yang benar. Gambar memulai proses bruteforce Salah satu hal yang menarik adalah menentukan password Untuk DVWA ini kita berhasil melakukan bruteforce dengan in- yang benar, dikarenakan intruder ini memang kegunaannya un- truder dan mendapatkan username admin dan password seba- tuk melakukan automatisasi request dengan modifikasi, maka gai password, salah satu kelebihan lainnya kita tidak perlu untuk menentukan mana password yang benar dan salah salah mengkonfigurasikan cookie (seperti jika kita mempergunakan satu yang bisa kita pergunakan adalah dengan membanding- 59
  • 14. hydra saat membruteforce login aplikasi dvwa) atau variable lainnya yang diperlukan untuk login. 1.4 Repeater Perangkat selanjutnya adalah Repeater, yang merupakan per- angkat sederhana untuk secara manual melakukan modifikasi (manipulasi) dan menjalankan single HTTP requests dan se- cara langsung mendapatkan response dari aplikasi. Untuk memanfaatkan repeater, sebagaimana penggunaan per- angkat lainnya, kita cuma perlu melakukan klik kanan dan men- girim request (Single) ke repeater, untuk kemudian dimodifikasi dan di kirimkan secara tersendiri. Untuk celah keamanan yang memungkinkan kita melakukan eksploitasi terkait hal ini adalah celah OS Command Injection, dan celah ini terdapat pada aplikasi DVWA, seperti pad a gam- Gambar request yang akan kita manipulasi secara terpisah dengan repeater bar berikut ini: Dan celah keamana yang akan kita eksploitasi adalah pada ha- laman /vulnerabilities/exec/index.php pada variable ip seperti pada gambar berikut ini, 60
  • 15. Gambar eksploitasi celah keamanan OS Command Injection dengan repeater Gambar proses eksploitasi celah keamanan os command injection dnegan repeater Selanjutnya adalah kita tinggal menggonta-ganti request yang ada khususnya pada variable ip, dan hal ini akan mempermu- dah dan memberi banyak keleluasaan bagi kita dalam proses penetration testing, dibandingkan mempergunakan browser un- tuk tiap request. 61
  • 16. 1.5 Sequencer Perangkat ke-5 adalah sequencer, perangkat ini bermanfaat un- tuk melakukan proses analisa kualitas tingkat kerandoman dari beberapa sample data, sebagai contoh memeriksa session to- kens dari suatu aplikasi dsb. Sebagai contoh kita akan memeri- kas cookies dari aplikasi DVWA ini Gambar pemilihan lokasi token pada response yang akan dianalisa. Kemudian kita tinggal menjalankan Sequencer dengan menggu- nakan button Start Live Capture, kemudian akan tampil hala- man hasil analisa yang menunjukkan bahwa hasil tingkat keran- doman untuk token tersebut adalah excellent, seperti pada gam- bar berikut, Gambar pengiriman request ke sequencer Kemudian, token yang akan kita analisa adalah PHPSESSID seperti pad agambar berikut ini, 62
  • 17. 1.6 Decoder Perangkat selanjutnya adalah Decoder, perangkat ini sangat bermanfaat untuk melakukan decode terhadap berbagai jenis encode yang umum dipergunakan seperti URL, HTML, Base64, ASCII hex, Hex, Octal, Binary, dan GZIP serta juga mendukung encoding dengan tipe-tipe diatas juga. Selain itu perangkat decoder ini juga memiliki dukungan untuk melakukan Hashing dengan dukungan beberapa algoritma hash yang sudah umum, seperti: md5, md3, SHA, SHA -256, SHA-384, SHA-512 Gambar hasil analisa tingkat kerandoman dari token yang dipilih Gambar Penggunaan Decoder 63
  • 18. 1.7 Comparer dengan security level high pada aplikasi DVWA, seperti pada gambar berikut, Burp comparer adalah perangkat yang berfungsi untuk melaku- kan perbandingan, seperti aplikasi diff pada unix, tetapi dalam hal ini yang dibandingkan adalah antara HTTP request atau antara HTTP Response. Untuk mengirim ke comparer dapat melakukan click kanan item yang akan di compare kemudian dipilih request atau response-nya seperti pada gambar berikut Gambar melakukan compare 2 buah request Dari hasil perbandingan diatas kita mengetahui dan dapat mela- kukan modifikasi cookie untuk membuat security level kita low tanpa perlu melakukan set security pada aplikasi DVWA, seperti yang kita lakukan sebelumnya pada bagian proxy. Gambar Mengirimkan item ke Comparer Sebagai contoh pemanfaatan Comparer adalah kita melakukan perbandingan antara login dengan security level low dan login 64
  • 19. 1.8 Scanner & 1.9 Extender (Pro-Only) Perangkat selanjutnya yang terdapat pada Burp suite adalah Burp Scanner dan Burp Extender. Kedua perangkat ini hanya tersedia pada Burp dengan versi Pro, dan tidak akan di bahas secara mendetail pada e-book ini. Sedang untuk penggunaan Scanner kita tinggal melakukan klik- kanan dan memilih mode aktif atau pasif, tetapi sebaiknya kita mendefinisikan Scope terlebih dahulu serta melakukan crawl- ing web aplikasi dengan Spider. Gambar hasil penggunaan Burp Scanner untuk aplikasi dvwa Dari hasil ujicoba tingkat keberhasilan burp dalam mendeteksi celah keamanan relatif cukup baik, burp juga meminimalisir ha- sil false positive, selain itu metode scanning yang dilakukan Gambar Penggunaan Scanner burp juga memberikan tingkat lebih dalah berhadapan dengan Dan hasil dari penggunaan Burp Scanner akan terdapat pada perangkat keamanan web seperti IDS, IPS dan Web Applica- tab scanner, seperti contoh berikut ini adalah melakukan scan- tion Firewall. ning terhadap aplikasi dvwa. 65
  • 20. Gambar validasi salah satu celah keamanan yang ditemukan Burp Scanner Burp Extender adalah salah satu fitur yang memungkinkan pengguna dan pengembang untuk mengembangkan penggu- naan dan fungsi dari Burp Suite, sebagai contoh adalah salah satu extender sqlmap untuk Burp Suite yang di buat dan dikem- bangkan oleh Daniel Garcia Gambar SQLMap Extender untuk Burp Suite 66