Close

Як провести аудит безпеки сайту з допомогою BurpSuite?

Стаття буде корисною для власників веб-сайтів, які бажають знати як проводити автоматизовані аудити безпеки з допомогою спеціалізованих DAST-сканерів (Dynamic Application Security Testing). У даному випадку розглянемо інструмент Burp Suite PRO.

Зміст статті

Що таке аудит безпеки і навіщо він потрібен?

Аудит безпеки електронних ресурсів (Web Application Security Audit) — це комплекс заходів, технік та методик, здійснюваних з метою виявлення недоліків (вразливостей) безпеки в ІТ-системах, інфраструктурах, веб-додатках та проведення оцінки усіх ризиків.

Аудит потрібно проводити регулярно — хоча б раз на місяць. Це пояснюється тим, що електронні ресурси та системи постійно наповнюються інформацією, змінюються, оновлюються, кешуються. 24/7 в них відбуваються різноманітні фонові процеси, які можуть зазнавати як внутрішнього, так і зовнішнього впливу, втручання. Ризики, які при цьому виникають, пов’язані перш за все з постійним розвитком технологій, людським фактором, появою багів та помилок у коді та системах захисту, які хакери намагаються виявити й поексплуатувати.

Чим небезпечна відсутність регулярного аудиту безпеки? Ви можете не здогадуватися які вразливості є на вашому сайті, а також наслідки, викликані цим. Ваш сайт житиме “своїм життям” й у будь-яку хвилину може бути зламаний або використаний зловмисниками без вашого відома. Тому аудит безпеки — одна з найважливіших речей в обслуговуванні веб-сайту.

Далі зосередимось на основній темі — як провести аудит.

Аудит безпеки сайтів і додатків в BurpSuite

BurpSuite — це найпопулярніший універсальний кросплатформний динамічний (DAST) сканер/краулер безпеки, який може також використовуватися як проксі для проведення різноманітних досліджень й тестувань на проникнення.

Програма існує у трьох версіях — Community Edition, Professional та Enterpise. Перша є абсолютно безкоштовною і її може завантажити кожен на офіційному сайті. Але вона позбавлена деяких важливих функцій – відсутній модуль сканера для проведення аудитів. Тому, необхідно використовувати мінімум BurpSuite Professional. Ціна його складає від $399 на 1 рік, проте можна безкоштовно отримати пробну 14-денну версію (натиснути “Try to Free” на офіційному сайті).

Burp Suite PRO

Одразу скажу, що BurpSuite – це “must have”, без нього просто складно обійтись. Економить купу часу, потраченого на різні безкоштовні інструменти, які часто приносять мало користі.

Отже, після встановлення та запуску програми, перед нами з’явиться головний екран  на  вкладці Dashboard:

Burp Suite start new scan

Щоб розпочати сканування необхідно всього лиш натиснути на кнопку “New Scan” – з’явиться діалогове вікно з налаштуваннями:

BurpSuite scan options

Вам запропонують вказати тип і цілі сканування. Тип — обираємо “Crawl and audit” (Сканування і аудит). В полі “URLs to Scan” можна вказати домен — тоді сканування буде проходити у межах усього сайту по всім файлам та каталогам. Або вказати список URL-адрес, які потрібно просканувати. У разі необхідності, можна також змінити тип протоколу, по якому буде проводитися сканування.

Переходимо на наступний крок — вкладка “Scan configuration”. Тиснемо на кнопку знизу “Select from library” – з’явиться діалогове вікно з можливістю вибору різних конфігурацій та стратегій сканування та аудиту. Можна задати потрібну частоту, глибину перевірки, сценарії тощо.

Audit settings in Burpsuite

Переходимо на наступну вкладку – “Application login”. Якщо сайт чи сторінка захищені формою авторизації, то тут можна задати дані авторизації й BurpSuite успішно проведе сканування. Є можливість застосувати макрос Chrome-браузера (через плагін BurpSuite Navigation Recorder).

Переходимо до останньої вкладки — “Resource pool”. Тут можна налаштувати інтенсивність сканування — кількість запитів в секунду. Можемо залишити по замовчуванню, хоча для деяких сайтів це критично важливо, адже сканування може навантажити сервер. У такому випадку необхідно зменшити агресивність сканування.

Resource pool in Burpsuite

Натискаємо ОК і запускаємо сканування. На дашборді з’явиться нова панель з назвою “Crawl and audit of …” з перебігом подій виконання аудиту:

На ній відображений рядок статусу, статистика кількості виконаних запитів, помилок (errors) і знайдених вразливостей — “Issues”, позначених різними кольорами за ступенем критичності. Якщо натиснути на кнопку “View details>>” – відкриється нове вікно з деталізацією представлення даних:

Issue activity in BurpSuite

Обсяги інформації, якою оперує BurpSuite вражають. Він просканує сайт, як кажуть, до самих “кісточок”. До всіх знайдених вразливостей показує HTTP-заголовки (Request/Reponse) і приклади експлуатації, що є надзвичайно корисним:

Мушу зазначити, що глибоке сканування сайту з розгорнутою структурою може зайняти достатньо часу і суттєво навантажити його, тому рекомендую запускати сканер у вибрані години, або використати конфігурацію  “Faster scan” (швидкий аудит, див. вище).

По закінченню сканування отримуємо не просто “сухий звіт” з набором даних, а структурований документ з детальним описом знайдених вразливостей, посиланнями на джерела (references) та класифікацією згідно CVE/CWE. Таке ТЗ можна експортувати в HTML (включивши в нього усі або лише вибрані вразливості) і передати спеціалісту для подальшої роботи.

Burp Suite reporting wizard

Для того, аби згенерувати звіт в BurpSuite, треба перейти на екран “Issue activity”, виділити курсором вразливості і з допомогою контекстного меню обрати пункт “Report Selected Issues”. З’явиться Майстер створення звітів (Burpsuite Wizard Reporting), який здійснить експорт даних у формат HTML або XML.BurpSuite audit report

Підсумовуючи скажу, що проксі BurpSuite — надзвичайно простий в опануванні, швидкий в роботі, корисний і важливий з точки зору кібербезпеки. Інформація, яку він надає — надзвичайно цінна. В ідеалі цей інструмент повинен бути “під рукою” у кожного вебмайстра та власника сайту. Це чудовий інструмент для перевірки електронних ресурсів на технічні помилки і вразливості.

👉 Замовити аудит безпеки сайту>>

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

0 0 голосів
Рейтинг статті
Підписатися
Сповістити про
guest
0 Коментарі
Вбудовані Відгуки
Переглянути всі коментарі
0
Цікаво почути Вашу думку!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!