Heute zeige ich Ihnen, warum Sie vorsichtig sein und das Web sehr gut überprüfen sollten, um Probleme zu vermeiden. Mal sehen, wie Sie Anfragen an eine Website senden können, um einen Artikel zu kaufen, der nicht verfügbar ist, und wie Sie uns über Burp Suite verlassen. Dies ist ein Fehler auf der Seite, wenn der Vorgang nicht korrekt überprüft wird.
- Abgesehen von diesem Beispiel kann noch viel mehr getan werden.
- Diese Technik, die ich Ihnen zeige, dient dazu, Ihre Webseiten zu testen und festzustellen, ob diese Fehler vorliegen.
- Der einzige Zweck dieser Demonstration besteht darin, die bestehenden Risiken und den Aufwand für Ihr Unternehmen zu ermitteln, wenn die Dinge nicht von Anfang an erledigt werden.
Es ist Zeit, das Lernprogramm zu starten und zu erfahren, wie Pakete über Burp Suite bearbeitet und an Webseiten gesendet werden .
Wir müssen die Burp Suite herunterladen, Sie müssen Java installiert haben, klicken Sie hier .
Führen Sie das in Schritt 1 heruntergeladene arhivo jar (Burp Suite) aus. Dazu verwenden Sie den folgenden Befehl im cmd oder Terminal (Sie müssen sich in dem Verzeichnis befinden, in dem sich die Datei befindet), in dem Sie file_name in die in Schritt 1 heruntergeladene Datei Burp Suite einfügen .
Java-Jar-Dateiname
Als Erstes akzeptieren Sie die Bedingungen. Klicken Sie auf Ich akzeptiere .
Im nächsten Fenster geben wir Weiter .
Auf dem nun erscheinenden Bildschirm können Sie Konfigurationen laden oder sie standardmäßig belassen . Ich lasse sie so, wie sie kommen, und wir geben Start Burp ein .
Wenn das Programm geöffnet ist, klicken Sie auf die Registerkarte Proxy und wählen Sie Optionen aus den folgenden Registerkarten. Hier konfigurieren wir einen Proxy, damit der gesamte Datenverkehr durch das Programm geleitet wird.
Hier müssen wir den Proxy konfigurieren, dann lasse ich einige Bilder der Konfiguration, die Sie haben sollten.
[color = # a9a9a9] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Der Rest der Konfiguration (der hier nicht angezeigt wird) ist standardmäßig so, wie er in der Burp Suite enthalten ist. Damit jedes Paket nicht abgefangen wird, gehen wir zur Registerkarte Abfangen und klicken dort, wo Intercep aktiviert ist , damit es so bleibt, wie es in der folgenden Abbildung dargestellt ist:
Wir haben es bereits konfiguriert.
Wir rufen unseren bevorzugten Browser auf und lassen ihn über den zuvor konfigurierten Proxy (IP: 127.0.0.1, Port: 8080) zum Internet navigieren . Ich werde es in Mozilla Firefox tun, wir müssen Optionen eingeben, wie wir in der folgenden Abbildung sehen:
Wir öffnen eine neue Registerkarte, wählen ” Erweitert” und klicken dort unter ” Netzwerk” auf ” Konfiguration” :
Wir konfigurieren es wie im nächsten Bild und klicken auf OK :
Wir können jetzt durch den Proxy navigieren, sodass Burp Suite die Pakete bereits erfasst.
Wir navigieren zur Webseite (in meinem Fall zu einem Online-Shop) und stellen fest, dass sie nicht alle Größen haben. In diesem Fall kaufe ich eine Größe 38 und eine 40, um die Daten der versendeten Pakete zu sehen.
Wir suchen in der Burp Suite nach den gesendeten Paketen. Klicken Sie hierzu auf die Registerkarte ” Ziel” . Was mich interessiert, ist die Kaufanfrage. Wir sehen uns also die POST-Sendungen auf der Seite an, auf der das “Hinzufügen zum Warenkorb” erfolgt, und untersuchen diese dann Parameter können uns dienen.
Wenn wir das gewünschte Paket haben und wissen, was zu tun ist, wählen wir es durch Klicken mit der rechten Maustaste aus und haben mehrere Optionen, wir wählen An Repeater senden :
Wir werden sehen, dass die Menüoption namens Repeater orange wird, wir klicken darauf und wir werden Folgendes sehen:
[color = # a9a9a9] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Wenn wir hier Parameter ändern, können wir Anfragen an den Server stellen, die aus dem Web nicht zulässig sind (Sie können auch Anfragen zulassen), da die Seite nicht für diese vorbereitet ist und nicht ausgeführt werden sollte. Dank Burp Suite können Sie jedoch Änderungen vornehmen.
In diesem Fall habe ich mehrere Größen gekauft, da ich möchte, dass die 36 nicht verfügbar ist, ich kaufe die 38, die 40 und entdecke, dass es in den POST-Paketen eine Kennung gibt, die 2 Zahlen ändert und zufällig mit den Größen zu tun hat 2 folgende Bilder:
Wenn also das Paket, das Sie an den Repeater senden, die Zeile geändert hat :
cartAction = add & pid = 04376540940
Für folgendes:
cartAction = add & pid = 04376540936
Werde ich Größe 36 in den Warenkorb legen? Wir werden versuchen, das modifizierte Paket (oder ohne es zu modifizieren), das wir geben, zu senden. In der folgenden Abbildung sehen wir, wie die Anfrage korrekt verarbeitet wurde. 
[color = # a9a9a9] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Wenn ich auf die Webseite gehe und den Warenkorb betrete, wird angezeigt, dass das Produkt hinzugefügt wurde. Es wird eine Meldung zum Löschen angezeigt, die nicht verfügbar ist. Sie sollten jedoch nicht zulassen, dass das Produkt hinzugefügt wird.
Jetzt kann ich den Button nicht mehr zum Beenden meines Kaufs geben, der Button wird grau hervorgehoben:
Klicken Sie mit der rechten Maustaste auf die Schaltfläche und klicken Sie auf Element überprüfen. Suchen Sie nach der deaktivierten Option für die Schaltfläche und entfernen Sie sie:
[color = # a9a9a9] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Wenn wir jetzt auf die Schaltfläche klicken, können wir unseren Kauf abschließen, da dies nur eine Überprüfung auf der Client-Seite bewirkt:
Hier wurde nur versucht, das Bewusstsein beim Programmieren einer Webseite zu schärfen (nicht beim Angreifen von Seiten), da es viele Tools gibt, die es einfacher machen, Dinge zu tun, die nicht sollten. In diesem Fall macht es wenig Sinn, etwas zu kaufen dass sie dich nicht schicken, aber wenn viele Leute das tun, muss das Unternehmen das Geld zurückgeben, was bedeutet, dass ihre Arbeiter Zeit dafür aufwenden müssen und keine andere Arbeit machen können.
Anstatt einen nicht verfügbaren Artikel in den Warenkorb zu legen, haben wir einen Kauf für 0 € getätigt und Artikel im Wert von 1000 € angenommen. Diese Fehler treten im Internet auf, und Unternehmen müssen sich ihrer Sicherheit bewusst sein und in sie investieren, da sie möglicherweise aufgrund dieser leicht vermeidbaren Fehler in Konkurs gehen.
