Q: Berapa jumlah PC yang bisa dipasang lisensi Burp profesional?
A: Maksimal 4 PC.
Q: How to disable informational issue definitions on Scanner?
A: https://portswigger.net/kb/issues/005009b0_browser-cross-site-scripting-filter-disabled
Q: Bagaimana penggunaan proxy pada Burp?
A: Tidak stabil, beberapa fitur gagal.
Q: Bagaimana cara agar menghindari Scan yang duplikat?
A: Setelah melakukan active scan, Remove from scope.
Flow Penggunaan Burp
- Mengatur Scope Target
- Mengatur Proxy
- Mengatur Scanner
- Mengatur Project Options -> Session (Jika Login gunakan Session Handling Rules)
- Jangan gunakan
spider this host - Scan by bussiness process
Plugin
Autorepeater
https://github.com/nccgroup/AutoRepeater
Parsing XML on Proxy: HTTP History
Saya mencoba untuk mengambil item tertentu dengan kata kunci domain.
Ini dia _script_nya.
import xml.etree.ElementTree as ET
import re
tree = ET.parse('domain.burp.xml')
root = tree.getroot()
# for child in root:
# print child.tag, child.attrib
# for neighbor in root.iter('neighbor'):
# print neighbor.attrib
# unique url
# uu = []
# for item in root.findall('item'):
# url = item.find('url').text
# domain = re.findall(r'^https:\/\/api\.domain\.com\/.*', url)
# if domain:
# if domain[0] not in uu:
# uu.append(domain[0])
# for atom in uu:
# print atom
# for item in root.findall('item'):
# if not re.findall(r'^https:\/\/api\.domain\.com\/.*', item.find('url').text):
# root.remove(item)
# tree.write('sample.xml')
# "FIND UNIQUE URL"
# unique url
uu = []
for item in root.findall('item'):
if re.findall(r'^https:\/\/api\.domain\.com\/.*', item.find('url').text):
if re.findall(r'^https:\/\/api\.domain\.com\/.*', item.find('url').text)[0] not in uu:
uu.append(re.findall(r'^https:\/\/api\.domain\.com\/.*', item.find('url').text)[0])
else:
root.remove(item)
else:
root.remove(item)
tree.write('small.xml')
Hasilnya bisa digunakan untuk vulnerability assesment pada REST API menggunakan Netsparker.
Troubleshooting
Q: Mitigating Burp Suite error “burpsuite handshake alert: unrecognized_name”
A: Run via CLI java -Djsse.enableSNIExtension=false -jar burpsuite_pro_v1.5.21.jar
REST API Testing with Burp
Untuk pengujian aplikasi web yang menggunakan REST API sebagai backend bisa
dilakukan dengan Burp. Langkah-langkah yang diperlukan antara lain:
- Atur proxy dan gunakan aplikasi web layaknya pengguna biasa untuk melihat proses bisnis aplikasi web tersebut.
- Bisnis proses dapat dideteksi pada URL maupun yang menggunakan form.
- Buat evil stories untuk masing-masing penyalahgunaan proses bisnis pada ap likasiw web tersebut.
- Gunakan scanner pada Burp untuk mulai menguji bisnis proses secara otomati s.
- Atur dengan opsi
passive scanning = in-scopedan `active scanning = don't scan`. - Pilih URI tertentu saja saat melakukan
active scanningkarena REST API kad ang sensitif dengan request yang terlalu banyak dan menghindari redudansi *s canning* pada URI yang sama. - Cari bug dengan severity high maupun critical untuk diuji pada tahap eksploitasi.
- Jika hanya ditemukan, coba skenario lain pada bug dengan severity medium maupun low.
Upstream Proxy Server
Agar Burp bisa menggunakan Proxy yang dipasang pada sistem, gunakan fitur ini.
PoC Bug
Poin yang perlu diperhatikan ketika melakukan PoC Bug pada Burp.
- Lakukan PoC pada Bug yang Critical dan Certain
- Beri komentar jika tidak sesuai dengan Severity
Plugin yang tidak perlu digunakan
- Additional scanner check hanya memberikan tambahan informasi passive scanning saja.
Kabar Plugin
Referensi
- https://support.portswigger.net/customer/portal/articles/2898216-using-burp- to-test-a-rest-api
- https://support.portswigger.net/customer/portal/questions/16365500-what-are- the-security-test-mandatory-for-webservices-rest-api-
- https://www.owasp.org/index.php/REST_Security_Cheat_Sheet
- https://isc.sans.edu/forums/diary/Assessing+SOAP+APIs+with+Burp/18175/