Guida Base a Burp Suite

Burp Suite è un’applicazione usata per test di sicurezza su applicazioni web, sviluppata principalmente per individuare vulnerabilità e fornire una piattaforma di test completa.
È ampiamente utilizzata da penetration tester, analisti di sicurezza e sviluppatori per identificare e risolvere problematiche legate alla sicurezza web.
In questa guida esploreremo le funzioni principali: Spider, Intruder, Repeater, e Decoder.

Spider

Lo Spider è uno strumento automatizzato che aiuta a esplorare e mappare la struttura di un sito web.
È utile per raccogliere tutte le risorse disponibili di un'applicazione e individuarne la struttura di URL e pagine.
In breve, funziona come un “crawler”, simile a quello usato dai motori di ricerca, che esplora l'applicazione seguendo i link e registrando ogni pagina trovata.

Funzionamento

• Spider invia richieste HTTP alla web application, seguendo automaticamente i collegamenti interni.
• Le pagine e le risorse individuate vengono catalogate, fornendo una mappa dettagliata.
• È possibile impostare restrizioni per limitare la profondità dell'esplorazione o per escludere determinate sezioni del sito.

Applicazioni

• Identificazione delle risorse non documentate o nascoste.
• Generazione di una mappa completa della struttura dell’applicazione web per individuare potenziali punti deboli.

Intruder

E' uno strumento potente che permette di condurre attacchi personalizzati a un’applicazione web. La funzione di Intruder consente di inviare numerose richieste HTTP con parametri modificati per identificare vulnerabilità come **SQL Injection**, **XSS (Cross-Site Scripting)** e **brute force**.

Funzionamento

• L’utente seleziona i parametri di una richiesta HTTP da modificare e definisce una serie di payload.
• Intruder invia ripetutamente richieste variando i parametri scelti, seguendo una delle quattro modalità principali: **Sniper**, **Battering Ram**, **Pitchfork**, e **Cluster Bomb**.
  • Sniper: Modifica un solo parametro per volta.
  • Battering Ram: Applica lo stesso payload a più posizioni.
  • Pitchfork: Utilizza più payload in posizioni diverse, eseguendo attacchi paralleli.
  • Cluster Bomb: Esegue un attacco combinatorio, applicando diversi payload in diverse posizioni.

Applicazioni

• Identificazione di vulnerabilità dovute a input non sanitizzato.
• Attacchi di brute-force su credenziali.
• Test su parametri di input per comprendere come l’applicazione gestisce vari dati.

Repeater

Permette di inviare manualmente richieste HTTP modificate, consentendo di testare il comportamento dell’applicazione in risposta a input variabili. Questo strumento è utile per chi vuole condurre test mirati e modificare i parametri delle richieste HTTP in modo dinamico, senza automatizzare il processo.

Funzionamento

• L'utente invia una richiesta HTTP, la modifica secondo le esigenze e la invia nuovamente all’applicazione.
• La risposta viene visualizzata in tempo reale, permettendo un’analisi immediata dei risultati.
• È possibile duplicare e salvare diverse versioni di una richiesta per test multipli.

Applicazioni

• Analisi manuale delle risposte a specifici input, ideale per vulnerabilità più difficili da automatizzare.
• Test di comportamento su vari parametri o valori singoli.
• Verifica dei risultati di attacchi di tipo injection e XSS.

Decoder

Decoder è uno strumento che consente di decodificare o codificare dati in diversi formati, come Base64, URL encoding, HTML encoding e molti altri. Questo è particolarmente utile quando si lavora con payload o si devono interpretare dati codificati provenienti dall’applicazione web.

Funzionamento

• L’utente inserisce il dato codificato o in chiaro, scegliendo il tipo di encoding o decoding da applicare.
• Decoder mostra il risultato dell’operazione, permettendo all’utente di decodificare o codificare rapidamente i dati.

Applicazioni

• Decodifica di dati per analizzare payload o trovare vulnerabilità.
• Codifica di input per preparare attacchi specifici.
• Manipolazione di dati in formati comuni per test di sicurezza.