✍️ Статья Burp Suite. Генерируем страницу для Clickjacking-атаки

The 146X Project Dublikat Web Studio Avram Lincoln AL Service Navigator Knyaz

Tartuga

💰 Проверенный продавец
Регистрация
19.12.2019
Сообщения
93
Burp Suite – это интегрированная платформа для выполнения тестов по безопасности веб-приложений. Её различные инструменты эффективно работают вместе для поддержки всего процесса тестирования, от составления карты сайта и анализа поверхности атаки приложения до поиска и эксплуатации уязвимостей безопасности.

Burp даёт вам полный контроль, позволяет комбинировать продвинутые ручные техники с доведённым до искусства автоматизмом, это делает вашу работу быстрее, более эффективной и более приятной.

Burp Suite содержит следующие ключевые компоненты:

  • Перехватывающий прокси, который позволяет вам инспектировать и модифицировать траффик между вашим браузером и целевым приложением.
  • Паук для приложений для обхода контента и функциональности.
  • Продвинутый сканер веб-приложений для автоматизированного выявления ряда типов уязвимостей.
  • Инструмент Intruder для выполнения мощный пользовательских атак для поиска и эксплуатирования необычных уязвимостей.
  • Инструмент Repeater для манипуляций и повторной отправки индивидуальных запросов.
  • Инструмент Sequencer для тестирования хаотичных сессионных токенов (маркеров).
  • Возможность сохранять вашу работу и возобновлять рабочий процесс позже.
  • Расширяемость, позволяющая вам легко писать ваши собственные плагины, для выполнения комплексных и высоко настраиваемых задач внутри Burp.
Burp прост и интуитивен, позволяет новичкам начать работу прямо сейчас. Burp также очень гибкий в настройке, содержит ряд мощных функций для помощи самым опытным тестером в их работе.

Домашняя страница: https://portswigger.net/

Автор: PortSwigger

Лицензия: Коммерческая

Программа предустановлена в BlackArch.

Программа предустановлена в Kali Linux.

Скачать Burp Suite.
Для загрузки программы перейдите на официальный сайт. Выберите файл, соответствующий вашей ОС. Файл JAR является универсальным и может быть запущен на любой операционной системе с Java.

В некоторых операционных системах, например, Kali Linux и BlackArch, Burp Suite уже предустановлен. Вы можете открыть программу через меню или набрав в окне терминала:

burpsuite

Запуск Burp Suite.
Файл .jar можно использовать в качестве портативной версии без необходимости устанавливать программу. На некоторых платформах с установленной Java вы можете запустить Burp двойным кликом по JAR файлу Burp. Тем не менее, предпочтительным является запуск Burp из командной строки, поскольку это даёт вам больше контроля за его выполнением, в частности количеством памяти, которое ваш компьютер назначает Burp. Чтобы это сделать в командной строке наберите что-то вроде:

java -jar -Xmx1024m /путь/до/burp.jar

где 1024 это количество памяти (в Mb), которое вы хотите назначить Burp, и /путь/до/burp.jar это расположение файла Burp JAR на вашем компьютере.

Мой файл под названием burpsuite_free_v1.7.21.jar расположен в папке C:\Users\Alex\Downloads\, тогда моя команда запуска такая:

java -jar -Xmx1024m C:\Users\Alex\Downloads\burpsuite_free_v1.7.21.jar

Если всё работает, вы увидите экран заставки и затем должно появиться главное окно мастера:

qaM_pC0FB_M.jpg

На выбор предложены следующие опции:

  • Temporary project (временный проект) – Эта опция полезна для быстрых задач, в которых вам не нужно сохранять вашу работу. Все данные держаться в памяти, и теряются при выходе из Burp.
  • New project on disk (новый проект на диске) – Создаётся новый проект, которых сохраняет свои данные в файле проекта Burp. Этот файл будет содержать все данные и настройки для проекта, данные сохраняются постепенно по мере вашей работы. Вы также можете указать имя для проекта.
  • Open existing project (открыть существующий проект) – Будет открыт существующий проект из файла проекта Burp. Для быстрого выбора показан список последних открытых проектов. Когда выбирается эта опция инструменты Spider и Scanner будут автоматически поставлены на паузу при повторном открытии проекта, это делается во избежание отправки непреднамеренных запросов к существующим в настройках целям. Если хотите, вы можете отключить эту опцию.
Примечание: позже в меню Burp вы можете переименовать проект.

Выбор конфигурации.
Для конфигурации проекта вы можете выбрать из следующих опций:

  • Use Burp defaults (использовать стандартный настройки Burp) – Проект будет открыт со стандартными опциями Burp.
  • Use options saved with project (использовать опции, сохранённые с проектам) – Доступно только если повторно открывается существующий проект, и проект будет открыт с использованием опций, сохранённых в файле проекта.
  • Load from configuration file (загрузить из конфигурационного файла) – Проект будет открыт с использованием опций, содержащихся в выбранном конфигурационном файле Burp. Помните, что будут перезагружены только опции уровня проекта из конфигурационного файла, а все опции пользовательского уровня проигнорированы. Для быстрого выбора показан список последних используемых конфигурационных файлов.
Генерируем страницу.
Когда мы ищем уязвимость, именно пользователи чаще всего являются самым слабым звеном. Это неудивительно, потому что их действительно легко обмануть. Один из способов сделать это называется «кликджекинг» (clickjacking). Этот тип атаки провоцирует жертву кликнуть куда-нибудь, куда она кликать не собиралась, и это «куда-нибудь» полностью контролируется атакующим. В составе Burp Suite имеется весьма полезный инструмент под названием Clickbandit, который может автоматически сгенерировать кликджекинг-атаку.

Обзор Clickjacking-атак.
Кликджекинг — это техника, суть которой заключается в том, чтобы обманом вынудить пользователя кликнуть на какой-то элемент на веб-странице (обычно это кнопка или ссылка), использующий несколько слоев. Когда пользователь делает это, он кликает только на верхний слой. Это делается путем использования скрытых iframe-элементов, текстовых полей или CSS-стилей. Clickjacking также иногда называют «UI redressing», что можно перевести как «исправление пользовательского интерфейса». Само слово clickjacking является комбинацией слов «click» and «hijacking». Таким образом, злоумышленник по сути «крадет» клики пользователя, с целью выполнения определенных действий без его ведома.

В последние годы «лайки» Facebook стали целью этого типа атак. Это явление назвали Likejacking. По сути, ничего не подозревающие пользователи обманом лайкают страницы фейсбука, хотя делать этого на самом деле они не собирались.

Продемонстрируем, как быстро и просто можно провернуть кликджекинг-атаку. В этом руководстве мы будем использовать Mutillidae — специальную виртуальную машину с уязвимостями и Burp Suite.

Использование Clickbandit для выполнения атаки.
Для начала нам нужно запустить Mutillidae и Burp Suite. Далее мы сконфигурируем Burp, чтобы он работал в качестве прокси в браузере, тогда мы сможем перехватывать запросы.

В Firefox перейдите в «Настройки» («Preferences») и прокрутитесь вниз раздела «Параметры сети» («Connection Settings»). Кликните по кнопке «Настроить» («Settings»), выберите «Ручная настройка прокси» («Manual proxy configuration») и введите 127.0.0.1 в качестве HTTP-прокси и 8080 в качестве порта. Теперь установите флажок «Использовать этот прокси-сервер для всех протоколов» («Use this proxy server for all protocols») и убедитесь, что поле под словами «Не использовать прокси для» («No proxy for») пустое. Кликните «ОК», и мы будем готовы двигаться дальше.

bEr7ImUQpUQ.jpg

В Burp перейдите на вкладку «Прокси» («Proxy») и убедитесь, что «Перехват включен» («Intercept is on») включен. Затем, вернувшись в Mutillidae, просто перейдите на домашнюю страницу, на которой мы и выполним clickjacking-атаку. Теперь в Burp мы должны увидеть запрос.

nHBJM4oypsc.jpg

В верхней части окна перейдите в меню «Burp» и из выпадающего списка выберите «Burp Clickbandit». Появится всплывающее окно с инструкциями по использованию этого инструмента.

v5nWtdeFVDg.jpg

Следуя инструкциям, нажмите кнопку «Копировать Clickbandit в буфер обмена» («Copy Clickbandit to clipboard»), чтобы скопировать скрипт в буфер обмена. Затем в браузере вернитесь на домашнюю страницу Mutillidae. В Burp мы можем либо переслать запрос, либо отключить функцию перехвата, чтобы перезагрузить страницу.

i1VNRGX12gk.jpg

Далее нам нужно получить доступ к JavaScript-консоли в браузере. В Firefox мы можем щелкнуть правой кнопкой мыши и выбрать «Исследовать элемент» («Inspect element»), а затем перейти на вкладку «Консоль» («Console») в верхней части окна. Теперь мы можем вставить скрипт в консоль (в поле с >>) и нажать Enter.

rlQgVDOXnpE.jpg

После этого в верхней части браузера должен появиться баннер Clickbandit, в котором отображаются кнопки запуска и завершения (проверки концепции). Мы также можем установить галочку на опции «Отключить действия по кликам» («Disable click actions») для того, чтобы наши клики не регистрировались во время записи атаки.

Nsir3Sa3ZaQ.jpg

Теперь нам нужно выполнить серию тех кликов, которые должна сделать жертва. В нашем случае нужно просто кликнуть по кнопке «Войти/Зарегистрироваться» («Login/Register»). Когда закончите, кликните по кнопке «Готово» («Finish»). Вам будет представлен для подтверждения шаблон для проведения кликджекинга.

56c7jd2IbWc.jpg

Здесь также есть настройки для увеличения или уменьшения масштаба, включения прозрачности, перемещения позиции iframe-элемента с помощью клавиш со стрелками или выполнения атаки заново. Если вы довольны результатом, нажмите кнопку «Сохранить» («Save»), чтобы локально сохранить предлагаемую вам идею страницы для кликджекинга в виде HTML-файла для последующего изменения и использования.

l2zLVTI03SA.jpg

Когда атака будет выполнена и жертва кликнет по невидимому iframe-элементу, появится сообщение об уязвимости.

HXH26mfZY0c.jpg

На этом этапе это сообщение можно изменить в HTML-файле или можно вставить в эту страницу более злобный код.

Предотвращение Clickjacking-атак.
Хотя кликджекинг не входит в первую десятку рейтинга OWASP , для ничего не подозревающих пользователей этот вид атак по-прежнему представляет серьезную опасность. Последствия атак такого типа могут включать в себя простой дефейс веб-сайта, раскрытие или удаление конфиденциальных данных. К счастью, есть несколько простых способов защиты от кликджекинга.

Одним из самых простых способов защиты на стороне клиента является использование специальных расширений для браузера, например NoScript , у которого есть функция, не позволяющая пользователям нажимать на невидимые или встроенные объекты.

Другой более надежный подход заключается в использовании фрейм-предков Content Security Policy, своего рода наследника заголовка X-Frame-Options, который запрещает использование фреймов в чужих потенциально вредоносных доменах. Еще один способ защиты от кликджекинга состоит в том, чтобы просто иметь код, который бы делал текущий фрейм самым верхним уровнем пользовательского интерфейса.

Заключение.
Clickjacking может быть весьма ценным орудием атаки в правильных ситуациях, но ручная подготовка к таким атакам занимает довольно много времени. У Burp Suite есть функция Clickbandit, которая позволяет автоматизировать этот процесс. После того, как будет создана страница для проведения атаки и вы на практике убедитесь, что уязвимость существует, то все, что требуется для успешного завершения атаки — это немного покреативить в ее кастомизации под нужную ситуацию.
 

📌 Золотая реклама

AnonPaste

Верх