Як провести аудит безпеки сайту з допомогою BurpSuite?

Що таке аудит безпеки і навіщо він потрібен?

Аудит безпеки електронних ресурсів (Web Application Security Audit) — це комплекс заходів, технік та методик, здійснюваних з метою виявлення недоліків (вразливостей) безпеки в ІТ-системах, інфраструктурах, веб-додатках та проведення оцінки усіх ризиків.

Аудит потрібно проводити регулярно — хоча б раз на місяць. Це пояснюється тим, що електронні ресурси та системи постійно наповнюються інформацією, змінюються, оновлюються, кешуються. 24/7 в них відбуваються різноманітні фонові процеси, які можуть зазнавати як внутрішнього, так і зовнішнього впливу, втручання. Ризики, які при цьому виникають, пов’язані перш за все з постійним розвитком технологій, людським фактором, появою багів та помилок у коді та системах захисту, які хакери намагаються виявити й поексплуатувати.

Чим небезпечна відсутність регулярного аудиту безпеки? Ви можете не здогадуватися які вразливості є на вашому сайті, а також наслідки, викликані цим. Ваш сайт житиме “своїм життям” й у будь-яку хвилину може бути зламаний або використаний зловмисниками без вашого відома. Тому аудит безпеки — одна з найважливіших речей в обслуговуванні веб-сайту.

Далі зосередимось на основній темі — як провести аудит.

Аудит безпеки сайтів і додатків в BurpSuite

BurpSuite — це найпопулярніший універсальний кросплатформний динамічний (DAST) сканер/краулер безпеки, який може також використовуватися як проксі для проведення різноманітних досліджень й тестувань на проникнення.

Програма існує у трьох версіях — Community Edition, Professional та Enterpise. Перша є абсолютно безкоштовною і її може завантажити кожен на офіційному сайті. Але вона позбавлена деяких важливих функцій – відсутній модуль сканера для проведення аудитів. Тому, необхідно використовувати мінімум BurpSuite Professional. Ціна його складає від $399 на 1 рік, проте можна безкоштовно отримати пробну 14-денну версію (натиснути “Try to Free” на офіційному сайті).

Одразу скажу, що BurpSuite – це “must have”, без нього просто складно обійтись. Економить купу часу, потраченого на різні безкоштовні інструменти, які часто приносять мало користі.

Отже, після встановлення та запуску програми, перед нами з’явиться головний екран  на  вкладці Dashboard:

Щоб розпочати сканування необхідно всього лиш натиснути на кнопку “New Scan” – з’явиться діалогове вікно з налаштуваннями:

Вам запропонують вказати тип і цілі сканування. Тип — обираємо “Crawl and audit” (Сканування і аудит). В полі “URLs to Scan” можна вказати домен — тоді сканування буде проходити у межах усього сайту по всім файлам та каталогам. Або вказати список URL-адрес, які потрібно просканувати. У разі необхідності, можна також змінити тип протоколу, по якому буде проводитися сканування.

Переходимо на наступний крок — вкладка “Scan configuration”. Тиснемо на кнопку знизу “Select from library” – з’явиться діалогове вікно з можливістю вибору різних конфігурацій та стратегій сканування та аудиту. Можна задати потрібну частоту, глибину перевірки, сценарії тощо.

Переходимо на наступну вкладку – “Application login”. Якщо сайт чи сторінка захищені формою авторизації, то тут можна задати дані авторизації й BurpSuite успішно проведе сканування. Є можливість застосувати макрос Chrome-браузера (через плагін BurpSuite Navigation Recorder).

Переходимо до останньої вкладки — “Resource pool”. Тут можна налаштувати інтенсивність сканування — кількість запитів в секунду. Можемо залишити по замовчуванню, хоча для деяких сайтів це критично важливо, адже сканування може навантажити сервер. У такому випадку необхідно зменшити агресивність сканування.

Натискаємо ОК і запускаємо сканування. На дашборді з’явиться нова панель з назвою “Crawl and audit of …” з перебігом подій виконання аудиту:

На ній відображений рядок статусу, статистика кількості виконаних запитів, помилок (errors) і знайдених вразливостей — “Issues”, позначених різними кольорами за ступенем критичності. Якщо натиснути на кнопку “View details>>” – відкриється нове вікно з деталізацією представлення даних:

Обсяги інформації, якою оперує BurpSuite вражають. Він просканує сайт, як кажуть, до самих “кісточок”. До всіх знайдених вразливостей показує HTTP-заголовки (Request/Reponse) і приклади експлуатації, що є надзвичайно корисним:

Мушу зазначити, що глибоке сканування сайту з розгорнутою структурою може зайняти достатньо часу і суттєво навантажити його, тому рекомендую запускати сканер у вибрані години, або використати конфігурацію  “Faster scan” (швидкий аудит, див. вище).

По закінченню сканування отримуємо не просто “сухий звіт” з набором даних, а структурований документ з детальним описом знайдених вразливостей, посиланнями на джерела (references) та класифікацією згідно CVE/CWE. Таке ТЗ можна експортувати в HTML (включивши в нього усі або лише вибрані вразливості) і передати спеціалісту для подальшої роботи.

Для того, аби згенерувати звіт в BurpSuite, треба перейти на екран “Issue activity”, виділити курсором вразливості і з допомогою контекстного меню обрати пункт “Report Selected Issues”. З’явиться Майстер створення звітів (Burpsuite Wizard Reporting), який здійснить експорт даних у формат HTML або XML.

Підсумовуючи скажу, що проксі BurpSuite — надзвичайно простий в опануванні, швидкий в роботі, корисний і важливий з точки зору кібербезпеки. Інформація, яку він надає — надзвичайно цінна. В ідеалі цей інструмент повинен бути “під рукою” у кожного вебмайстра та власника сайту. Це чудовий інструмент для перевірки електронних ресурсів на технічні помилки і вразливості.

👉 Замовити аудит безпеки сайту>>