Pengantar
Di bagian kedua dari seri Burp Suite ini, Anda akan mempelajari cara menggunakan proxy Burp Suite untuk mengumpulkan data dari permintaan dari browser Anda. Anda akan mempelajari cara kerja proxy penyadap dan cara membaca data permintaan dan respons yang dikumpulkan oleh Burp Suite.
Bagian ketiga dari panduan ini akan membawa Anda melalui skenario realistis tentang bagaimana Anda akan menggunakan data yang dikumpulkan oleh proxy untuk pengujian yang sebenarnya.
Ada lebih banyak alat bawaan untuk Burp Suite yang dapat Anda gunakan dengan data yang Anda kumpulkan, tetapi itu akan dibahas di bagian keempat dan terakhir dari seri ini.
Mencegah Lalu Lintas
Proksi Burp Suite adalah apa yang disebut sebagai proksi penyadapan. Itu berarti bahwa semua lalu lintas yang datang melalui proxy memiliki opsi untuk ditangkap dan diteruskan secara manual oleh pengguna proxy. Ini memungkinkan Anda untuk memeriksa setiap permintaan secara manual dan memilih bagaimana menanggapinya.
Ini bisa bagus berdasarkan kasus, tetapi bisa juga sangat jelas bagi pengguna bahwa ada sesuatu yang salah jika Anda menggunakan ini sebagai bagian dari pentest profesional yang sebenarnya.
Jadi, jika Anda hanya ingin menangkap lalu lintas dalam jumlah besar sekaligus dan memantaunya saat mengalir atau menyisirnya nanti, Anda dapat menonaktifkan fitur penyadapan proxy dan mengizinkan lalu lintas mengalir dengan bebas.
Untuk mengaktifkan intersepsi, buka tab "Proxy" di baris atas tab, lalu ke tab "Intercept" di baris kedua. Secara default, tombol ketiga akan berbunyi, “Intercept aktif.” Klik untuk mengaktifkan dan menonaktifkan intersepsi. Untuk saat ini, biarkan saja.
Di Firefox, navigasikan ke situs WordPress Anda di localhost . Anda akan melihat ikon "memuat" yang berputar di tab Anda dan Firefox tidak ke mana-mana. Ini karena permintaan ke server web Anda telah ditangkap oleh proxy Burp.
Periksa jendela Burp Suite Anda. Sekarang akan ada permintaan data di tab "Intercept" Anda. Ini adalah informasi yang dikirim dari browser ke server WordPress Anda meminta halaman yang Anda navigasikan. Anda tidak akan melihat HTML atau apa pun yang akan dikembalikan dari server. Anda bisa mendapatkan data respons dengan membuka tab "Opsi" di bawah "Proxy" dan mencentang "Cegah respons berdasarkan aturan berikut" dan "Atau Permintaan Dicegat".
Bagaimanapun, Anda dapat melihat tab baru di layar "Intercept". Raw, Params, dan Header akan menjadi yang paling berguna bagi Anda. Mereka semua pada dasarnya menampilkan data yang sama, tetapi melakukannya dalam format yang berbeda. Raw menampilkan permintaan mentah saat dikirim. Params menunjukkan parameter apa pun yang dikirim dengan permintaan. Ini sering kali di mana informasi berguna seperti detail login akan mudah ditemukan. Header hanya akan menampilkan header permintaan. Ini berguna jika permintaan memiliki HTML.
Untuk meneruskan permintaan ke server, tekan tombol "Teruskan". Jika Anda mengatur Burp untuk mencegat respons, Anda sekarang akan melihatnya memenuhi layar Anda. Jika tidak, data akan hilang saat dikirim ke server.
Data respons serupa, tetapi memiliki beberapa bagian baru, seperti “HTML.” Ini berisi HTML mentah seperti yang dikirim dari server. Seharusnya juga ada tab yang disebut, "Render." Burp dapat mencoba merender respons HTML, tetapi tidak akan menyertakan CSS, JavaScript, atau aset statis apa pun. Fitur ini hanya dimaksudkan untuk memberi Anda gambaran singkat tentang struktur halaman yang dikembalikan. Mengeklik “Teruskan” lagi akan mengirimkan tanggapan ke Firefox.
Lalu Lintas Proksi
Nonaktifkan intersepsi. Untuk bagian selanjutnya ini, cukup pantau lalu lintas yang datang melalui proxy. Jelajahi situs WordPress palsu Anda. Jika perlu, temukan konten yang tidak masuk akal untuk mengisi situs, sehingga Anda dapat melihat seperti apa arus lalu lintas yang lebih realistis melalui Burp Suite.
Semua lalu lintas yang melewati proxy Burp Suite dapat ditemukan di tab "Riwayat HTTP" di bawah "Proxy." Secara default, permintaan terdaftar dalam urutan menaik. Anda dapat mengubah ini untuk melihat lalu lintas terbaru di atas dengan mengklik # di bagian atas kolom ID permintaan di paling kiri tabel.
Pastikan untuk meluangkan waktu mengklik di sekitar situs WordPress Anda, dan menonton Burp Suite seperti yang Anda lakukan. Anda akan melihat daftar riwayat HTTP Anda terisi dengan cepat. Yang mungkin mengejutkan adalah jumlah permintaan yang dikumpulkan. Browser Anda biasanya akan membuat lebih dari satu permintaan per klik. Permintaan ini dapat berupa aset di laman, atau dapat datang sebagai bagian dari pengalihan. Bergantung pada tema atau font yang telah Anda instal, Anda bahkan mungkin melihat permintaan keluar ke domain lain. Dalam skenario dunia nyata, ini akan menjadi sangat umum, karena sebagian besar situs web menggunakan aset yang dihosting secara independen dan jaringan pengiriman konten.
Melihat Permintaan
Pilih permintaan untuk dilihat. Lebih baik jika Anda dapat menemukannya dengan tipe MIME HTML. Ini berarti bahwa itu adalah permintaan untuk salah satu halaman situs web dan berisi beberapa HTML untuk Anda lihat.
Saat pertama kali memilih satu, Anda akan diperlihatkan permintaan dalam bentuk mentahnya. Permintaan mentah akan menyimpan semua informasi yang dikirim dari Firefox ke server. Ini seperti permintaan yang Anda cegat. Kali ini, Anda melihatnya setelah fakta, bukan dalam perjalanan.
Anda pasti dapat menggunakan permintaan mentah untuk menarik informasi utama, jika Anda merasa lebih nyaman dengannya, tetapi tab Params dan Header akan terbukti jauh lebih mudah dibaca dalam banyak kasus. Lihatlah params. Ini akan berisi informasi variabel apa pun yang perlu diteruskan browser ke browser. Dalam hal banyak halaman HTML dasar, mungkin hanya berisi cookie. Saat Anda memutuskan untuk mengirimkan formulir, informasi yang terkandung dalam formulir akan muncul di sini.
Header berisi informasi tentang permintaan itu sendiri, targetnya, dan browser Anda. Header akan menentukan apakah permintaan tersebut adalah permintaan GET atau POST. Mereka juga akan memberi tahu Anda server atau situs web apa yang sedang dihubungi. Permintaan akan menyertakan informasi browser untuk digunakan server dan bahasa apa yang harus ditanggapi. Ada beberapa yang tumpang tindih, dan Anda juga akan melihat beberapa informasi cookie di sini. Mungkin juga berguna untuk melihat informasi atau jenis file mana yang akan diterima kembali oleh browser dari server. Itu tercantum di bawah “Terima.”
Melihat Respons
Klik pada tab "Tanggapan". Ini semua sangat mirip dengan permintaan dalam hal jenis informasi apa yang tersedia. Sama seperti permintaan, respons mentah dimuat dengan informasi dalam format yang tidak teratur. Anda dapat menggunakannya, tetapi lebih baik memecahnya dengan tab lain.
Alih-alih menemukan informasi browser di header, Anda malah akan menemukan informasi server. Header umumnya akan memberi tahu Anda jenis respons HTTP apa yang diterima dari server. Anda juga akan menemukan informasi tentang jenis server web apa yang sedang berjalan dan bahasa backend apa yang memberi daya pada halaman tersebut. Dalam hal ini adalah PHP.
Tab HTML akan berisi HTML mentah yang dikirim server ke browser untuk merender halaman. Anda mungkin atau mungkin tidak menemukan sesuatu yang menarik di sini, tergantung pada apa yang Anda cari. Ini tidak terlalu berbeda dengan melihat sumber halaman dari browser Anda.
Pemikiran Penutup
Baiklah. Anda telah menginstal dan mengonfigurasi Burp Suite. Anda telah mem-proxy permintaan dari Firefox melaluinya dan mencegatnya. Anda juga telah mengizinkan Burp Suite untuk mengumpulkan beberapa permintaan dan mengevaluasinya untuk mendapatkan informasi yang berguna.
Dalam panduan berikutnya, Anda akan menggunakan ini untuk mengumpulkan informasi untuk serangan brute force di halaman login WordPress.