Introduction au développement d'extensions Burp

Magazine
Marque
MISC
Numéro
82
Mois de parution
novembre 2015
Domaines


Résumé

L’analyse des requêtes et des réponses est essentielle lors d’un test d’intrusion visant une application Web. La capacité d’interception, de consultation et de modification de ces éléments est un prérequis indispensable dans l’évaluation de la sécurité d’une telle application par un auditeur, dans la mesure où ce dernier doit pouvoir librement injecter ou modifier des entrées utilisateurs et autres entêtes du protocole HTTP.L’outil Burp Suite [1], développé par la société PortSwigger, répond parfaitement à ces besoins dans la plupart des situations. Il montre néanmoins ses limites dans certains cas où la structure des messages échangés et du protocole applicatif utilisé n'est pas standard, par exemple dans un cas où pour chaque requête, un entête HTTP personnalisé ou un paramètre spécifique (token CSRF, hash, etc.) doit être ajouté pour que la requête soit acceptée. Face à ces situations, l’auditeur va généralement tenter de contourner ces limitations en développant tant bien que mal un script qui sera plus ou moins fonctionnel, qui ne sera généralement pas réutilisable par d’autres et surtout, qui ne sera pas intégré à « l’outil-qui-va-bien » utilisé en temps normal… Afin de répondre à cette problématique, un mécanisme « d’extension » a été introduit au sein de Burp pour étendre ses fonctionnalités de manière programmatique via une API. À travers cet article, nous vous proposons une introduction pragmatique au développement d’extensions Burp en nous appuyant sur deux cas d’usages détaillés, afin de pouvoir rapidement intégrer les éventuelles spécificités protocolaires que vous pourriez rencontrer dans un test d’intrusion.


1. Des fonctionnalités manquantes

Comme évoqué, l’auditeur fait le plus souvent face à un serveur et un client discutant à l’aide du protocole HTTP. Il est alors intéressant de pouvoir modifier et rejouer ces requêtes échangées. L’outil Burp possède déjà pléthore de fonctionnalités via les modules Intercept, Repeater, Intruder, etc. En revanche, deux cas d’usage se présentent à un utilisateur où l’outil présente des limitations :

- Des fonctionnalités génériques peuvent manquer à l’appel : c’est notamment le cas pour l’absence de support des fichiers de configuration automatique de proxy sortants « proxy.PAC », ou encore la visualisation des ressources au format JSON avec une indentation agréable à l’œil ;

- Des spécificités protocolaires rendent impossible la modification des requêtes et réponses : par exemple dans le cas où un client lourd et un serveur échangent des objets sérialisés. Il est alors nécessaire de...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références


Articles qui pourraient vous intéresser...

Retours d’un hackathon 5G

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Domaines
Résumé

Encore insouciant de la crise qui allait frapper le monde fin 2019, un hackathon de 24h a eu lieu à l’université d’Oulu [1] en Finlande afin d’anticiper les attaques sur les futures installations 5G de manière pratique. Nous verrons dans cet article comment il a été possible d’avoir la main sur la quasi-totalité d’un réseau 5G privé comme celui du campus d’Oulu à partir d’une carte USIM et d’un téléphone 5G. Puis, nous verrons d’autres perspectives en termes de tests d’intrusion avec les outils publics actuels.

Exploration du standard HITAG2 utilisé pour le verrouillage des véhicules grâce à la SDR

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Depuis de nombreuses années, l’ouverture des véhicules ne se fait plus en insérant une clé dans une serrure mécanique comme c’était le cas auparavant. Le verrouillage, et même parfois l’allumage des phares, peuvent être réalisés à partir d’une transmission radio entre la clé et le véhicule. Cette fonctionnalité, devenue essentielle, doit nous questionner sur la sécurité mise en œuvre. Nous allons voir que jusqu’à récemment, beaucoup de systèmes de verrouillage déployés sont vulnérables à des attaques peu sophistiquées qui nécessitent peu de moyens.

Introduction au dossier : Réalisez votre premier pentest pour sécuriser votre système

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Dans cette série d’articles, je vais vous faire une introduction au pentesting. Non, je ne ferai pas de vous des pirates informatiques. Nous resterons dans la légalité, et vous découvrirez ce qu’est un Ethical Hacker, quelqu’un qui teste le système informatique d’un client, avec son approbation et son consentement, pour l’aider à renforcer sa sécurité informatique.

Mise en pratique du pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

La lecture des articles précédents vous a donné envie de vous essayer au pentesting, envie que vous aviez même peut-être déjà. Nous allons désormais passer à la pratique, en mettant en application les concepts théoriques abordés dans le premier article.