HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Đề tài: Rà quét lỗ hổng công cụ Burp Suite Nhóm lớp: 01 Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực hiện: Nguyễn Mạnh Hiếu Mã sinh viên: B18DCAT087 Lớp: B18DCAT087 Số điện thoại: 0766356056 Hà Nội, 12/2021 LỜI MỞ ĐẦU Số lượng trang web có xu hướng phát triển theo cấp số nhân từ năm qua năm khác Theo Internet Live Stats, số lượng trang web năm 2017 gần gấp đôi so với năm 2016 Hiện tại, có khoảng tỉ trang web hoạt động Internet Điều có nghĩa có đến tỉ mục tiêu xâm nhập tiềm tàng cho tội phạm mạng Ngoài số lượng tăng theo thời gian độ phức tạp trang web tăng theo thời gian, đồng nghĩa với việc chúng khó bảo mật Các hệ thống ngày tích hợp sâu ứng dụng web có xu hướng chuyển lên cloud để kết nối nhiều hệ thống với Điều khiến cho cơng vào ứng dụng web có khả dẫn đến nguy điều khiển toàn hệ thống Đứng trước nguy tiềm tàng vậy, việc bảo mật ứng dụng web cấp bách hết Và Burp Suite cơng cụ kiểm tra thâm nhập tìm lỗ hổng phổ biến thường sử dụng để kiểm tra bảo mật ứng dụng web Burp Suite công cụ dựa proxy sử dụng để đánh giá tính bảo mật ứng dụng dựa web thực kiểm tra thực hành Burp Suite trình quét lỗ hổng bảo mật web sử dụng rộng rãi giới LỜI MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU VỀ BURP SUITE Bảo mật khơng cịn tùy chọn Công cụ Burp Suite Các phiên Cách thức hoạt động Các tính bật CHƯƠNG 2: CÀI ĐẶT VÀ SỬ DỤNG BURP SUITE Cài đặt Burp Suite 1.1 Cài Burp Suite Windows 1.2 Cài đặt Linux [4] 12 1.3 Thiết lập Proxy cho trình duyệt 14 1.4 Cài đặt chứng cho burp để bắt request website https 17 Sử dụng Burp Suite 20 2.1 Khởi động Burp Suite 20 CHƯƠNG 3: Demo Scan trang web với Burp Suite Scanner 23 CHƯƠNG 4: Đánh giá kết luận 43 LỜI CẢM ƠN 45 CHƯƠNG 1: GIỚI THIỆU VỀ BURP SUITE Bảo mật khơng cịn tùy chọn Chương cho thấy nhìn tổng quan an toàn bảo mật ứng dụng web Thế thực tế, việc đảm bảo an toàn bảo mật cho ứng dụng web bị xem thường không nằm danh mục ưu tiên doanh nghiệp, tổ chức Điểm mạnh ứng dụng web chúng truy cập 24/7 song ứng dụng web khơng đảm bảo an tồn bị cơng lúc Có quan niệm lỗi thời việc bảo mật phần mềm q trình thử nghiệm khiến tiến độ cơng việc chậm lại [1] Nhưng bảo mật lại phần quan trọng sản phẩm Chẳng người dung lại muốn cung cấp thông tin mà lại bị lộ bên ngồi Các ứng dụng web Được thiết kế để người dùng thu thập gửi lên thơng tin cá nhân bao gồm thông tin nhạy cảm Nếu ứng dụng web không đảm bảo an tồn bảo mật tồn sở liệu lưu trữ thông tin nhạy cảm người dùng đứng trước nguy bị công Một vài nghiên cứu khoảng 75% vụ công mạng thực ứng dụng web Đứng trước nguy này, cần có phương pháp giúp đảm bảo an toàn bảo mật cho ứng dụng web Các phương pháp thường kĩ thuật rà quét phát lỗ hổng bảo mật ứng dụng web, từ người quản trị vá lỗ hổng trước hacker khai thác để thực công Công cụ Burp Suite Burp Burp Suite công cụ sử dụng để kiểm tra xâm nhập ứng dụng web Nó phát triển cơng ty có tên Portswigger Đó bí danh người sáng lập Dafydd Stuttard BurpSuite công cụ tất khả BurpSuite nâng cao cách cài thêm tiện ích bổ sung (extension) gọi BApps Tính dễ sử dụng BurpSuite làm cho trở thành lựa chọn phù hợp với lựa chọn thay miễn phí OWASP ZAP [2] Đây cơng cụ kiểm tra thâm nhập tìm lỗ hổng phổ biến thường sử dụng để kiểm tra bảo mật ứng dụng web Burp Suite công cụ dựa proxy sử dụng để đánh giá tính bảo mật ứng dụng dựa web thực kiểm tra thực hành Với 58000 người dùng, Burp Suite trình quét lỗ hổng bảo mật web sử dụng rộng rãi giới Hình 1.0.1 BurpSuite sử dụng rộng rãi tồn giới Hình 1.0.2 Cơng cụ BurpSuite Các phiên Hình 1.0.3 Các phiên Burp Suite − Burp Suite Enterprise Edition: • Trình qt lỗ hổng bảo mật web doanh nghiệp • Có thể tự động hóa mở rộng quy mơ quét lỗ hổng bảo mật web để bảo vệ tổ chức khách hàng • Được sử dụng AppSec leaders, đội kỹ thuật, DevSecOps − Burp Suite Professional: • Bộ công cụ kiểm tra xâm nhập web số giới • Bộ cơng cụ nhiều chun gia tin cậy để kiểm tra hiệu ứng dụng web, giúp tìm nhiều lỗ hổng hơn, nhanh • Được tin cậy 50.000 penetration testers bug bounty hunters − Burp Suite Community Edition: • Gồm công cụ tốt để bắt đầu kiểm tra bảo mật web • Miễn phí cho tất người sử dụng tính phiên Cách thức hoạt động Các tính bật − Interception Proxy: Được thiết kế để bắt request từ tùy ý sửa đổi trước request gửi lên server − Repeater: Cho phép sử dụng request trước tùy sửa đổi nội dung request cách nhanh chóng nhiều lần khác Sau gửi request tiếp với nội dung vừa sửa − Intruder: Tự động hóa việc gửi hàng loạt request có chứa payload tương tự lên server − Decoder: Decode encode string theo format khác (URL, Base64, HTML,…) − Comparer: Chỉ khác requests/responses − Extender: API để mở rộng chức Burp Suite Có thể download extensions thơng qua Bapp Store − Spider & Discover Content: Crawl link có ứng dụng web − Scanner (chỉ có Pro): Một mô đun khác mạnh mẽ, giúp tự động quét lỗ hổng ứng dụng web (XSS, SQLi, Command Injection, File Inclusion,…) CHƯƠNG 2: CÀI ĐẶT VÀ SỬ DỤNG BURP SUITE Cài đặt Burp Suite Yêu cầu: Burp Suite viết Java Vậy nên, máy phải cài Java muốn sử dụng Burp Suite  Cần phải cài đặt java (jdk) trước cài đặt công cụ Tải cài đặt java jdk theo link Link tải java jdk 1.1 Cài Burp Suite Windows Bước 1: Tải Burp Suite trang chủ Sẽ có lựa chọn phiên Enterprise + Professional ( phí) Community (bản miễn phí) http://portswigger.net/ Hình 2.0.1 Tải Burp Suite từ trang chủ PortSwigger Ở chọn phiên Community để tải Hình 2.0.2 Tải Burp Suite community từ trang chủ Nhập email ấn download Hình 2.0.3 Chọn phiên loại máy Chọn phiên cho windows tải file exe Ngồi download file jar để chạy file java Bước 2: Mở trình cài đặt tiến hành cài đặt Burp Suite, chọn “Next” yêu cầu Hình 2.0.4 Trình cài đặt Burp Suite Bước 3: Chọn nơi cài đặt Burp Suite, cần tối thiểu 294 MB Kiểm soát gặp lỗi muốn dừng cơng cụ lý d) Insertion Point Types Chỉnh sửa payload thêm request thu thập gửi e) Modifying Parameter Locations f) Ignored Insertion Points Bỏ qua số lỗi payload không cần thiết g) Frequently Occuring Insertion Points Nếu khơng chỉnh sửa tất cấu hình Burp sử dụng cấu hình burp mặc định để tiến hành qt Ngồi lưu lại cấu hình vào trọng thư viện để sử dụng trường hợp mục đích cụ thể b) Application login Cài đặt thông tin đăng nhập q trình thu thập thơng tin cơng cụ, sử dụng nhiều loại tài khoản khác để mức độ khai thác rộng sâu 3.3) Tiến hành scan mục tiêu Mục tiêu: https://ace51f711fd71a2cc0b281a70003000f.web-security-academy.net/ Lab có sẵn Portswigger có dính SQL Sau cài đặt cấu hình xong bắt đầu tiến hành scan Màn hình trình Scan: Ở góc trái quan sát task quét: Chúng ta quan sát tiến trình quét lỗi quét theo thứ tự nghiệm trọng giảm dần Ở góc trái quan sát log thực thi cơng cụ: Chúng ta quan sát task chạy lỗi trình rà quét Ở bên phải giao diện thông tin lỗi mà dò quét được, nhận rõ ràng thơng tin lỗ hổng nguy nguy hiểm chúng mang lại Ở bên nhận thơng tin lỗi request hay response mà công cụ thực thi nhận Sau quét xong quan sát tổng thể site-map mục tiêu tab target Ở theo dõi tất tài nguyên mà Burp Suite crawl request gửi để phát lỗ hổng 3.4) Thực tế quét confirm lỗ hổng Thêm target Chọn tất phương pháp scan Các lỗ hổng nghiêm trọng tìm q trình scan Vị trí lỗ hổng payload gửi lên hệ thống Gửi request với payload ‘ or 1=1 Thấy giao diện trả tất tin với tất danh mục Confirm thành cơng hệ thống có tồn lỗ hổng SQLi chức tin theo danh mục CHƯƠNG 4: Đánh giá kết luận Burp Suite công cụ mạnh mẽ dùng để rà quét lỗ hổng hay gặp hệ thống web Tuy Burp Suite Scanner qt tìm lỗ hổng khó hơn, nguy hiểm cần nhiều kỹ thuật để khai thác, nên công cụ để rà quét phát lỗ hổng bản, đơn giản để tiết kiệm thời gian cho người sử dụng Ngồi cịn nhiều cơng cụ qt lỗ hổng khác thường xuyên người dùng sử dụng nhiều Acunetix, SecurityBox hay Nessus,…tất có điểm mạnh điểm yếu riêng biết sử dụng nhiều công cụ lợi lớn cho nhà bảo mật an tồn thơng tin CHƯƠNG 5: Tài liệu tham khảo Tài liệu tham khảo [1] "Portswigger," Portswigger, 2021 [Online] https://portswigger.net/about [Accessed 16 12 2021] Available: [2] awasthi7xenextt, "geeksforgeeks," 26 2019 [Online] Available: https://www.geeksforgeeks.org/what-is-burp-suite/ [Accessed 16 12 2021] [3] D Adams, "LinuxHint," [Online] Available: https://linuxhint.com/burpsuite_tutorial_beginners/ [Accessed 16 12 2021] [4] "portswigger," portswigger, 16 12 2021 [Online] Available: https://portswigger.net/burp/documentation/desktop/external-browserconfig/browser-config-firefox [Accessed 16 12 2021] [5] "portswigger," portswigger, 16 12 2021 [Online] Available: https://portswigger.net/burp/documentation/desktop/configurations [Accessed 17 12 2021] LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn đến Học viện Cơng nghệ Bưu Viễn thơng đưa mơn học An tồn mạng vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên môn Ts Đặng Minh Tuấn dạy dỗ, rèn luyện truyền đạt kiến thức quý báu cho em suốt thời gian học tập kỳ vừa qua Trong thời gian tham dự lớp học thầy, em tiếp thu thêm nhiều kiến thức bổ ích, học tập tinh thần làm việc hiệu quả, nghiêm túc Đây thực điều cần thiết cho trình học tập cơng tác sau em Tuy nhiên, thời gian học tập lớp khơng nhiều, cố gắng chắn hiểu biết kỹ môn học em cịn nhiều hạn chế Do đó, Bài báo cáo kết thúc học phần em khó tránh khỏi thiếu sót chỗ chưa chuẩn xác, kính mong giảng viên mơn xem xét góp ý giúp tiểu luận em hoàn thiện Em xin chân thành cảm ơn! Hà Nội, ngày 23 tháng 12 năm 2021 Sinh viên Nguyễn Mạnh Hiếu ... vào hình Dash Board Burp Suite Hình 0.23 Trang burp suite CHƯƠNG 3: Demo Scan trang web với Burp Suite Scanner 3.1 Tạo Scan Burp Suite Scanner công cụ mạnh mẽ để dị qt lỗ hổng, qua người dùng... có tồn lỗ hổng SQLi chức tin theo danh mục CHƯƠNG 4: Đánh giá kết luận Burp Suite công cụ mạnh mẽ dùng để rà quét lỗ hổng hay gặp hệ thống web Tuy Burp Suite Scanner khơng thể qt tìm lỗ hổng khó... Crawl: Burp Suite thu thập toàn thành phần trang web Thường để rà quét lỗ hổng lựa chọn option crawl and audit URLs to Scan: Địa để quét lỗ hổng - Protocol settings: Options cho lựa chọn quét giao