HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG  TIỂU LUẬN Đề tài: “Tìm hiểu Burp Suite công mật khẩu” GIẢNG VIÊN: TS ĐẶNG MINH TUẤN SINH VIÊN: NGUYỄN ĐỨC BÌNH MÃ SINH VIÊN: B18DCAT019 NHĨM MƠN HỌC: 02 HÀ NỘI, 2021 MỤC LỤC DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ LỜI MỞ ĐẦU: Giới thiệu công cụ Burp Suite: I Giới thiệu chung: Lịch sử hình thành: Các thành phần: Cài đặt sử dụng: II Hướng dẫn cài đặt: Hướng dẫn sử dụng: 13 III Kịch công thử nghiệm: 16 Bài lab 1: Thay đổi mật điều kiện logic không kiểm tra 16 Bài lab 2: Vét cạn mật thông qua phương thức quên mật 19 Bài lab 3: Vét cạn mật quản trị viên: 22 Bài lab 4: Tấn công từ điển để thay đổi mật người dùng: 24 IV Kết luận: 25 TÀI LIỆU THAM KHẢO 26 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ viết tắt JRE HTTP HTTPS SQLi XSS CSRF RAM URL Thuật ngữ tiếng Anh/Giải thích Java Runtimes Environment Hypertext Transfer Protocol Hypertext Transfer Protocol Secure Structured Query Language injection Cross-site scripting Cross-site Request Forgery Random Access Memory Uniform Resource Locator Thuật ngữ tiếng Việt/Giải thích Mơi trường hỗ trợ chạy ứng dụng Java Giao thức truyền tải siêu văn Giao thức HTTP an toan Tấn công chèn mã SQL Tấn công chèn mã script Giả mạo yêu cầu liên trang Bộ nhớ truy cập ngẫu nhiên Địa website DANH MỤC CÁC HÌNH VẼ Hình 1.1 Ứng dụng Burp v1.0 Hình 1.2 Ứng dụng Burp Proxy v1.0 Hình 1.3 Ứng dụng Sock Hình 1.4 Ứng dụng Burp Proxy v1.1 Hình 1.5 Ứng dụng Burp Spider v1.0 Hình 1.6 Ứng dụng Burp Suite v1.0 Hình 2.1 Kiểm tra cài đặt JRE Hình 2.2 Logo ứng dụng Burp Suite Hình 2.3 Người dùng truy cập trực tiếp đến website 10 Hình 2.5 Hộp thoại cài đặt Proxy Firefox 11 Hình 2.6 Tab cài đặt Proxy Burp Suite 12 Hình 2.7 Trang cài đặt Proxy Edge 12 Hình 2.8 Hộp thoại cài đặt Proxy Windows 13 Hình 2.9 Cơng cụ Burp Proxy 14 Hình 2.10 Cơng cụ Repeater 14 Hình 2.11 Cơng cụ Intruder 15 Hình 2.12 Trang cài đặt liệu gửi 15 Hình 3.1 Sử dụng chế quên mật 17 Hình 3.2 Người cơng bắt thơng điệp yêu cầu đổi mật 17 Hình 3.3 Người cơng gửi thông điệp công cụ Repeater 18 Hình 3.4 Người cơng đăng nhập mật 19 Hình 3.5 Người công bắt thông điệp đổi mật 20 Hình 3.6 Người cơng gửi thơng điệp vào Intruder 20 Hình 3.7 Cài đặt payloads 21 Hình 3.8 Cài đặt điều kiện 21 Hình 3.9 Kết sau thực 22 Hình 3.10 Bắt thơng điệp u cầu đăng nhập 23 Hình 3.11 Gửi thơng điệp vào Intruder 23 Hình 3.12 Kết cơng vét cạn 24 Hình 3.13 Người bắt thơng điệp yêu cầu 24 Hình 3.14 Kết công từ điển 25 LỜI MỞ ĐẦU: Với phát triển ngày cành nhanh framework công nghệ giúp rút ngắn thời gian phát triển ứng dụng Vì số lượng ứng dụng phát hành ngày nhiều Mặt khác, nhiều ứng dụng phát hành kéo theo gia tăng lỗ hổng bảo mật Bởi ứng dụng chứa lỗ hổng bảo mật làm ảnh hưởng xấu đến danh tiếng uy tín doanh nghiệp phát hành ứng dụng Nên cơng ty ý đến tính bảo mật trình phát triển triển khai ứng dụng Đồng thời, có nhiều giải pháp sản phẩm phát triển nhằm hỗ trợ nâng cao tinh bảo mật ứng dụng Trong đó, Burp Suite công cụ nhiều chuyên gia bảo mật lựa chọn Burp Suite công cụ dễ dàng sử dụng lại có hiệu cao sử dụng kiểm thử tinh bảo mật ứng dụng Nó sử dụng để kiểm thử thủ cơng từ ứng dụng web đến API ứng dụng di động Với nhiều ưu điểm tính ứng dụng rộng rãi, tiểu luận đề tài “Tìm hiểu công cụ Burp Suite công mật khẩu” tìm hiểu trình phát triển cơng cụ tích hợp Burp Suite, cách cài đặt sử dụng, ví dụ công mật I Giới thiệu công cụ Burp Suite: Giới thiệu chung: Burp Suite tảng đơn giản sử dụng cho việc kiểm thử tính bảo mật ứng dụng web Nó tích hầu nhiều cơng cụ khác trơng ứng dụng Điều giúp người dùng kiểm thử thành phần khía cạnh ứng dụng web, kiểm tra sức mạnh chế xác thực, hay xác thực liệu đầu vào ứng dụng Nó khơng có giúp kiêm thử thủ cơng chun sâu mà cịn sử dụng kỹ thuật tự động để thống kê phân tích tài ngun ứng dụng web Burp Suite có hai phiên biên hướng đến hai đối tượng người dùng khác nhau: - - Burp Suite Enterprise Edition hướng đến đối tượng người dùng doanh nghiệp, với nhiều tinh khả thống kê phân tích mạnh mẽ (yêu cầu quyền với giá từ 6.995$ năm) Phiên dành cho đối tượng người dùng cá nhân lại có hai phiên con: o Burp Suite Comunity Edition dành cho người tìm hiểu làm quen với kiểm thử Đây phiên miễn phí thường cài sẵn hệ điều hành Kali Linux o Burp Suite Professional Edition dành cho người dùng cá nhân chuyên nghiệp có giá 399$ năm Một vài tinh khác biệt phiên Professional so với Community [1]: - - Kiểm thử xâm nhập thủ công: chặn bắt giả mạo thông điệp yêu cầu (cả HTTP HTTPS), kiểm tra thủ công với lỗ hổng OOB, kiểm tra web socket, kiểm tra độ mạnh token hay kiểm tra lỗ hổng clickjacking CSRF Kỹ thuật công tự động nâng cao: Chủ động thụ động rà quét lỗ hổng tiềm ẩn, khả bị khai thác vét cạn fuzzing Hiệu năng: thông tin phân tích chi tiết hơn, có khả thích ứng với ứng dự án khác nhau, báo cáo đơn giản hóa dễ dàng xử lý Tiện ích mở rộng: tiện ích mở rộng cài đặt từ cửa hàng ứng dụng Burp Suite giúp cao đáng kể tinh công cụ có Lịch sử hình thành: Burp v1.0 phát hành vào năm 2003 nguyên mẫu công cụ Intruder kèm theo hiệu ứng âm ợ đặc trưng khơng thể tắt [2] Hình 1.1 Ứng dụng Burp v1.0 Đến tháng năm 2003, hai công cụ khác Burp Proxy v1.0 Sock phát hành Burp Proxy v1.0 có khả chặn bắt Proxy bản, cửa sổ hiển thị dạng chữ hex thông điệp xem lịch sử truy cập Trong Sock nguyên mẫu công cụ Repeater sau với tinh mở socket gửi thông điệp yêu cầu Hình 1.2 Ứng dụng Burp Proxy v1.0 Hình 1.3 Ứng dụng Sock Ứng dụng Burp Proxy cập nhập v1.1 vào tháng năm 2004, với nhiều tinh hỗ trợ chuỗi Proxy, xác thực phù hợp-và-thay Hình 1.4 Ứng dụng Burp Proxy v1.1 Đến tháng năm 2004, ứng dụng Burp Spider v1.0 ứng dụng truy cập liên kết gửi biểu mẫu trang Hình 1.5 Ứng dụng Burp Spider v1.0 Trong năm 2005, ứng dụng Sock đổi tên thành Burp Repeater bổ sung thêm tinh chuỗi Proxy hay tùy chọn xác thực Tháng năm đó, Burp Suite v1.0 phát hình tích hợp bốn cơng cụ bảo gồm Instruder, Repeater, Proxy Spider Nó có khả liên thông liệu công cụ giúp tăng tốc khả kiểm thử Hình 1.6 Ứng dụng Burp Suite v1.0 Sau Burp Suite dần cập nhật bổ sung tinh Bổ sung công cụ Sequencer, Decoder Comparer phiên v1.1 vào tháng 11 năm 2007 Đến tháng 12 năm 2008, công cụ Burp Scanner mắt Trong phiên Burp Suite v1.3, cải thiện khả phân tích thơng điệp HTTP cơng cụ phân tích mục tiêu Giữa năm 2011, phiên v1.4 phát hành với thêm lựa chọn kiểm soát luật macros phiên Các thành phần: Về chất, Burp proxy web cục cho phép chặn, kiểm tra sửa đổi yêu cầu phản hồi HTTP / S trình duyệt người dùng trang web mục tiêu Trong người dùng điều hướng qua ứng dụng web, công cụ thu thập thông tin chi tiết tất trang, tập lệnh, tham số thành phần khác truy cập Lưu lượng truy cập trình duyệt máy chủ cuối trực quan hóa, phân tích, sửa đổi lặp lại nhiều lần Các cơng cụ khác có Burp Suite dễ dàng phân biệt tab phía [3]: - - - - Target: Công cụ cho phép bạn trực quan hóa nội dung ứng dụng mục tiêu cấu trúc thư mục phân cấp tương ứng với cấu trúc URL trang web Phần hiển thị tất nội dung truy cập nay, cách duyệt thủ công trang trang web Proxy: Đây cơng cụ Burp, cho phép chặn sửa đổi tất lưu lượng truy cập web Spider: Đây công cụ mạng nhện thu thập thông tin ứng dụng để xác định nội dung chức Scanner: Công cụ máy quét lỗ hổng web, tự động phát nhiều loại lỗ hổng web (SQLi, XSS CSRF) Nó có sẵn phiên Professional Intruder: Đây công cụ mạnh mẽ để thực công tự động, tùy chỉnh công ứng dụng web Thường gọi web fuzzer; web fuzzing thường liên quan đến việc gửi thông tin đầu vào không mong muốn đến ứng dụng đích Q trình giúp xác định lỗi bảo mật ứng dụng web Repeater: Như tên cho thấy, sử dụng để sửa đổi phát hành lại yêu cầu web theo cách thủ cơng Sequencer: Cơng cụ phân tích chất lượng tính ngẫu nhiên token phiên ứng dụng mục liệu quan trọng khác nhằm mục đích khơng thể đốn trước Decoder: Cơng cụ cho phép mã hóa giải mã liệu Comparer: Burp Comparer tiện ích để thực tìm khác biệt cách trực quan hai mục liệu bất kỳ, chẳng hạn cặp phản hồi web tương tự Extender: Phần mở rộng cho phép bạn tải tiện ích mở rộng bên thứ ba từ cửa hàng Burp Suite II Cài đặt sử dụng: Hướng dẫn cài đặt: Bước 1: Các yêu cầu trước cài đặt: Hình 2.6 Tab cài đặt Proxy Burp Suite - Edge: (1) Người dùng chọn “…” vào phần Setting Hình 2.7 Trang cài đặt Proxy Edge (2) Chọn “Hệ thống hiệu năng” > Chọn mở cài đặt Proxy 12 Hình 2.8 Hộp thoại cài đặt Proxy Windows - (3) Chọn sử dụng Proxy Server thêm thơng tin proxy Burp Suite Có thể sử dụng tiện ích mở rộng để dễ dàng chuyển đổi proxy khác Hướng dẫn sử dụng: Burp Suite có nhiều cơng cụ kiểm thử mạnh Tuy nhiên nội dung đề tài nên tập trung vào ba cơng cụ Burp Proxy, Intruder, Repeater Sử dụng công cụ Burp Proxy: - Vào ứng dụng Burp Suite sau chọn vào tab Proxy Sau chọn “Intercept is on”, người dùng truy cập vào trang web bất kỳ, thấy thông điệp yêu cầu lên Bao gồm đầy đủ thơng tin gói tin HTTP header,… Người dùng sử đổi thơng điệp sau tắt chặn bắt để Burp Suite chuyển thơng điệp đến trang web truy cập 13 Hình 2.9 Cơng cụ Burp Proxy Sử dụng cơng cụ Repeater: - Trước tiên người dùng cần phải bắt thông điệp Burp Proxy Tiếp đến người dùng gửi thơng điệp đến Repeater Repeater lặp lại thơng điệp người dùng chọn gửi Hình 2.10 Công cụ Repeater 14 Sử dụng công cụ Intruder: - - Intruder công cụ sử dụng kỹ thuật tự động để gửi danh sách liệu đầu vào Intruder thường dùng để gửi liệu khơng mong muốn để tìm lỗi việc quản lý ngoại lệ Người dùng chặn bắt thông điệp gửi Intruder Công cụ cho phép người dùng gán biến thêm danh sách liệu muốn thử Hình 2.11 Cơng cụ Intruder Hình 2.12 Trang cài đặt liệu gửi - Sau thực công, công cụ tự động lặp thông điệp chọn với liệu người dùng cài đặt đặt trước Từ người dùng dự vào kết trả để phán đốn khả có lỗ hổng ứng dụng 15 Hình 2.13 Kết thực công công cụ Intruder III Kịch công thử nghiệm: Bài lab 1: Thay đổi mật điều kiện logic không kiểm tra Người cơng có username password wiener peter Nạn nhân có username carlos Kịch công: - Người công sử dụng chế quên mật để bắt thông điệp yêu câu thay đổi mật (Hình 3.2) Người cơng sử dụng thơng điệp, thay đổi tên người dùng thành carlos (Hình 3.3) sau gửi lại thơng điệp cơng cụ Repeater Cuối người cơng đăng nhập mặt thay đổi (Hình 3.4) 16 Hình 3.1 Sử dụng chế quên mật Hình 3.2 Người công bắt thông điệp yêu cầu đổi mật 17 Hình 3.3 Người cơng gửi thơng điệp cơng cụ Repeater 18 Hình 3.4 Người cơng đăng nhập mật Bài lab 2: Vét cạn mật thông qua phương thức qn mật Người cơng có username password wiener peter Nạn nhân có username carlos Kịch công: - - Người công đăng nhập vào tài khoản thân Sau đổi dùng chế đổi mật tài khỏa Ở người cơng phát có hai điều kiện logic thực kiểm tra mật sau thực kiểm tra mật trùng Người công sử dụng Burp Suite bắt thơng điệp u cầu đổi mật (Hình 3.5) sau gửi thơng điệp vào cơng cụ Intruder sử đổi tên đăng nhập carlos thêm biến vào mật Người công sử dụng list mật thường gặp làm payload xét điều khiện mà ứng dụng trả lỗi mật khơng trùng (Hình 3.7 & 3.8) Vì người cơng chắn mật báo lỗi 19 Hình 3.5 Người cơng bắt thơng điệp đổi mật Hình 3.6 Người cơng gửi thơng điệp vào Intruder 20 Hình 3.7 Cài đặt payloads Hình 3.8 Cài đặt điều kiện 21 Hình 3.9 Kết sau thực Bài lab 3: Vét cạn mật quản trị viên: Kịch công: - Người công vô tình biết email người quản trị admin@juice-sh.op Người cơng dùng Burp bắt gói tin đăng nhập (Hình 3.10) sau gửi vào Intruder(Hình 3.11) Người công sử dụng danh sách mật thông dụng Seclists để thực vét cạn mật người quản trị Người công vét cạn thành công với mật admin123 22 Hình 3.10 Bắt thơng điệp u cầu đăng nhập Hình 3.11 Gửi thơng điệp vào Intruder 23 Hình 3.12 Kết cơng vét cạn Bài lab 4: Tấn công từ điển để thay đổi mật người dùng: Kịch công: - Người công sử dụng chế quên mật để đổi lại mật email jim@juicesh.op Jim người hâm mộ nhân vật Jim Star Trek Người sử dụng từ điển từ liên quan đến Jim Star Trek để tạo thành từ điển câu hỏi bảo mật Sau người cơng sử dụng công cụ Intruder để thử tất trường hợp Hình 3.13 Người bắt thơng điệp u cầu 24 Hình 3.14 Kết cơng từ điển IV Kết luận: Burp Suite tảng gồm nhiều cơng cụ có cách sử dụng dễ dàng đem lại hiệu cao Tuy nhiên, hiệu phiên khơng trả phí bị giới hạn với công cụ Intruder, không phù hợp để kiểm thử dự án có khối lượng liệu đầu vào lớn Vì vậy, tập khách hàng chuyên nghiệp nên sử dụng cơng cụ Burp Suite trả phí để có thêm cơng cụ mạnh mẽ khác 25 TÀI LIỆU THAM KHẢO [1] S Rahalkar, A Complete Guide to Burp Suite : Learn to Detect Application Vulnerabilities, 1st, Ed., New York: Apress Media LLC/Springer Science + Business Media Finance Inc., 2021, p [2] D Stuttard, "Burp through the ages," 03 October 2013 [Online] Available: https://portswigger.net/blog/burp-through-the-ages [Accessed 20 December 2021] [3] L Carettoni, Instant Burp Suite Starter, Birmingham: Packt, 2013 [4] "Burp Suite Software FAQ," PortSwigger, [Online] Available: https://portswigger.net/support/burp-suite-software-faqs [Accessed 20 December 2021] 26 ... 16 Bài lab 1: Thay đổi mật điều kiện logic không kiểm tra 16 Bài lab 2: Vét cạn mật thông qua phương thức quên mật 19 Bài lab 3: Vét cạn mật quản trị viên: 22 Bài lab... 26 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ viết tắt JRE HTTP HTTPS SQLi XSS CSRF RAM URL Thuật ngữ tiếng Anh/Giải thích Java Runtimes Environment Hypertext Transfer Protocol... truyền tải siêu văn Giao thức HTTP an toan Tấn công chèn mã SQL Tấn công chèn mã script Giả mạo yêu cầu liên trang Bộ nhớ truy cập ngẫu nhiên Địa website DANH MỤC CÁC HÌNH VẼ Hình 1.1 Ứng dụng