Your SlideShare is downloading. ×
Burp suite
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Burp suite

1,774
views

Published on

Burp Suite Usage (Bahasa)

Burp Suite Usage (Bahasa)


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,774
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
205
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Burp Suite4 Pada BAB ini akan dibahas mengenai perangkat Burp Suite yaitu salah satu perangkat untuk melakukan web penetration testing. Ahmad Muammar, OSCP (C) 2013
  • 2. Section 1Burp Suite 1. Burp Suite Burp Suite adalah salah satu perangkat keamanan gratis yang sangat berguna dalam melakukan kegiatan web application se- curity atau untuk kegiatan penetration testing. Burp yang pada awalnya hanya merupakan aplikasi proxy server untuk melaku- kan intercept baik terhadap http-request ataupun http-responseDaftar Isi ke server dan web aplikasi. Sampai versi terakhir 1.5 yang dapat diunduh di1. Burp Suite http://portswigger.net/burp/download.html, burp yang dina-! 1.1 Proxy makan suite juga berisikan tools-tools lain yang bermanfaat un- tuk kegiatan Web application security dan penetration testing.! 1.2 Spider Burp Suite yang dikembangkan dnegan bahasa pemrograman! 1.3 Intruder JAVA ini memiliki tools seperti proxy, spider, intruder, repeater,! 1.4 Repeater sequencer, decoder, comparer untuk versi gratisnya. Serta Per- angkat untuk melakukan scanning vulnerabilities terhadap web! 1.5 Sequencer aplikasi dengan perangkat scanner pada versi Professionalnya.! 1.6 Decoder Dan berikut akan kita bahas secara singkat perangkat- perangkat yang terdapat pada Burp Suite, tetapi sebelum itu! 1.7 Comparer berikut adalah beberapa hal yang perlu dikonfigurasikan pada! 1.8 Scanner Burp Suite dan pada browser agar berjalan sempurna.! 1.9 Extender 48
  • 3. Secara default maka proxy listener akan berjalan di 127.0.0.1:8080, dan alamat ini yang perlu kita set pada browser yang akan kita pergunakan pada aktifitas web penetration test- ing nantinya. Gambar Aplikasi Burp Suite versi gratisUntuk memastikan Burp Suite bekerja, pastikan bahwa proxy Gambar Tab konfigurasi Proxylisteners dari burp berjalan sempurna maka periksa pada TabProxy dan tab Options, perhatikan pada bagian proxy-listeners Kemudian kita perlu untuk mengkonfigurasikan browser yanguntuk di-cek dan running, begitu pula bagian Intercept Client Re- akan kita pergunakan, dan untuke mempermudah dalam mela-quest, dan pada beberapa kasus jika diperlukan juga melaku- kukan switch proxy, apabila kita menggunakan lebih dari 1kan intercept Server Responses. proxy nantinya, maka untuk browser firefox atau chrome ada 49
  • 4. add-os/extensions FoxyProxy yang dapat dipergunakan. Danberikut ini adalah gambar untuk mengkonfigurasikan Burpproxy yang akan kita pergunakan nantinya. Gambar Memilih Burp sebagai Proxy Dan selanjutnya apabila kita mengakses suatu web maka akan di inter- cept oleh burp, dan kita dapat memodifikasinya sebelum meneruskan request tersebut ke web server dengan meng-click tombol Forward, seperti gambar berikut ini, Gambar Aplikasi Konfigurasi FoxyProxySehingga, untuk mempergunakannya kita tinggal memilih kon-figruasi untuk Burp proxy pada icon foxyproxy di firefox, sepertipada gambar berikut ini: Gambar saat kita mengakses web DVWA dan langsung di intercept burp 50
  • 5. 1.1 Proxy Perangkat utama dari Burp suite yang awalnya dikenal dengan Burp Proxy adalah aplikasi proxy server yang dapat kita konfigu- rasikan untuk melakukan intercept terhadap seluruh transaksi web. Seperti pada penjelasan sebelumnya maka kali ini kita akan mempergunakan aplikasi web DVWA (Damn Vulnerable Web Application) sebagai aplikasi yang akan kita test. Sebagaimana kita ketahui bahwa aplikasi DVWA memiliki be- berapa level yaitu low, medium dan high dan untuk merubah level tersebut kita harus login terlebih dahulu kemudian mengak- ses halaman security.php, jika tidak maka secara default level security dari aplikasi adalah “high”. Dengan memanfaatkan penggunaan burp maka kita akan mela-Gambar setelah kita meneruskan request dengan meng-click Forward button kukan modifikasi security level dari aplikasi yang ternyata di set lewat Cookie oleh aplikasi, sehingga security level milik kita akan langsung ter-set dengan level low. Adapun yang kita laku- kan adalah dengan melakukan intercept seperti gambar diba- wah ini 51
  • 6. Gambar Request ke web dvwa, dan terlihat aplikasi men-set level security ke high Gambar Memodifikasi CookieSebelum kita mem-Forward request tersebut, maka kita dapatmemodifikasi security level dari aplikasi, sehingga saat kita Dan seterusnya setiap request, kita harus memodifikasi stinglogin level security kita adalah low, seperti gambar berikut security menjadi low pada tiap request, sehingga saat kita login ke web aplikasi, level security yang kita punyai adalah low, seperti gambar berikut 52
  • 7. 1.2 Spider Perangkat kedua dari Burp Suite adalah “Spider”, perangkat ini berfungsi sebagai crawler yang akan secara aktif dan pasif me- lakukan crawling terhadap web aplikasi untuk mendapatkan data halaman web, direktori, bahkan melakukan submit form dan mendapatkan variabel. Spider dapat di konfigurasikan untuk mempergunakan scope yang terdefinisi terlebih dahulu, dengan tujuan fokus terhadap target, untuk menentukan scope, perlu didefinisikan pada Tab Taget seperti pad agambar berikut:Gambar saat login, sudah otomatis dengan security level: low Gambar Scope yang didefinisikan 53
  • 8. Untuk mulai melakukan kegiatan crawling web aplikasi, maka 1.3 Intruderlakukan klik-kanan dan pilih opsi “Spider this host” seperti padagambar dibawah ini: Perangkat yang ketiga dari kumpulan Suite pada Burp adalah Intruder. Intruder ini adalah perangkat yang yang bermanfaat untuk melakukan otomatisasi kegiatan yang ditemukan pada saat melakukan kegiatan penetration testing. Salah satu kegi- atan yang dapat dilakukan dengan memanfaatkan intruder ada- lah untuk melakukan HTTP based brute-forcing Gambar melakukan Spider terhadap URL tertentu.Dan kemudian akan terlihat bahwa spider berjalan, seiring berjalanya aktifitas crawl- Gambar Tab Intrudering, maka nantinya pada Target akan bertambah pula direktori dan file yang terdapatpada list URL tersebut. Selanjutnya kita akan coba melakukan bruteforce terhadap web login pada aplikasi DVWA. Salah satu kelebihan dari aplikasi bruteforce ini adalah kita tidak perlu mengkonfigurasikan be- berapa hal yang umumnya kita konfigurasikan pada aplikasi bru- 54
  • 9. teforce lainnya, semisal thc-hydra yaitu HTTP Method yang Kemudian mengirimkannya ke Intruder, dengan melakukan klikdipergunakan, kemudian error response dsb-nya. kanan pada seluruh request tersebut, seperti gambar berikut ini:Yang perlu kita lakukan adalah mendapatkan 1 request lengkapsaat proses login terjadi, sebagai contoh mempergunakan user-name dan password sembarang, kemudian melakukan inter-cept pada proses tersebut seperti gambar berikut ini: Gambar pengiriman request login untuk bruteforce ke Intruder Selanjutnya adalah mengkonfigurasikan intruder untuk melaku- kan bruteforce terhadap halaman login tersebut memanfaatkan Gambar request login ke aplikasi DVWA full request yang sudah kita tandai. Sebelum itu pastikan host dan port serta protokol yang dipergunakan sudah benar (den- gan SSL (https) atau tidak), seperti pada gambar berikut ini. 55
  • 10. Gambar pengiriman request login untuk bruteforce ke Intruder Gambar Posisi Payload dari full request yang kita kirim ke intruderKemudian, kita akan mulai mengkonfigurasikan Intruder untuk Terdapat 5 Payload dengan 5 posisi pada request asli yang kitaproses bruteforce. Hal selanjutnya yang harus kita lakukan ada- kirimkan, selanjutnya untuk menandai payload yang mana sajalah menandai payload, payload inilah nantinya yang akan dimo- serta posisinya untuk kita bruteforce, maka yang perlu kita laku-difikasi oleh intruder saat melakukan request. kan pertama adalah menghilangkan seluruh tanda lalu kemu- dian menandainya, hal ini dapat dilakukan dengan menggu-Terdapat beberapa tipe attack yang didukung oleh intruder dan nakan clear button.hal ini sangat terkait dengan payload yang akan kita tandai dandiberi posisi, seperti pada gambar berikut ini: Sehingga, seluruh payload belum tertandai seperti pada gam- bar berikut, 56
  • 11. Gambar menandai payload dan posisinya Gambar Setelah kita melakukan clear payload positions Selanjutnya adalah menentukan tipe attack untuk payload, di-Selanjutnya, karena kita hanya ingin melakukan bruteforce ter- mana yang tersedia adalah sniper, battering ram, pitchfork danhadap username dan password, maka kita hanya perlu menan- clusterbomb, ada baiknya membaca help untuk tiap-tiap attackdai payload 1 yaitu username yang dalam hal ini admin dan type payload positions sesuai dengan kebutuhan anda, tetapipayload 2 yaitu palsu sebagai password. Hal ini dapat kita laku- secara sederhana sniper dan battering ram hanya mendukungkan dengan mempergunakan Add button seperti pada gambar single set payload dan sudah pasti tidak dapat kita pergunakanberikut ini: karena payload yang kita butuhkan lebih dari satu payload. Hanya tersisa tipe attack pitchfork dan ClusterBomb, dan tipe attack yang terakhir memungkinkan seluruh kombinasi dari pay- 57
  • 12. load di ujicobakan, sehingga kita akan memilih clusterbomb se-bagai tipe attack untuk payload positions seperti pada gambarberikut, Gambar memilih Attack Type Gambar mengkonfigurasikan simple list sebagai payload 2Selanjutnya yang perlu kita lakukan adalah mengkonfigurasikan Seperti pada gambar diatas, kita mengkonfigurasikan payloadpayload, yang sampai proses ini kita membutuhkan 2 buah pay- dengan posisi nomer 2 yang nantinya akan menjadi passwordload, yaitu payload 1 untuk username dan payload 2 untuk pada proses bruteforce dengan intruder ini. Perlu diketahuipassword. bahwa pada versi free maka proses bruteforce akan memakan waktu lebih lama karena hanya bisa menggunakan 1 threads :).Dan untuk tipe payload, kita bisa memilih simple list dan me- Anda juga selanjutnya dapat mengkonfigurasikan proses brute-masukkan secara manual list tersebut satu-persatu dikare- force pada bagian Options.nakan hanya versi pro yang mengijinkan untuk kita melakukanpenambahan dari list yang sudah ada seperti file kamus kata. 58
  • 13. Untuk memulai melakukan bruteforce maka kita cukup memilih kan content-length, dan hal ini akan lebih mudah jika passwordmenu intruder dan memilih start attack seperti pada gambar yang salah menghasilkan halaman yang sama (length sama),berikut, sedangkan apabila password yang salah menghasilkan content-length yang berbeda (dalam hal ini menampilkan user- name kembali saat gagal login) maka anda perlu mengkonfigu- rasikan intruder (tab options) untuk mempermudah menemukan password yang benar. Gambar memulai proses bruteforceSalah satu hal yang menarik adalah menentukan password Untuk DVWA ini kita berhasil melakukan bruteforce dengan in-yang benar, dikarenakan intruder ini memang kegunaannya un- truder dan mendapatkan username admin dan password seba-tuk melakukan automatisasi request dengan modifikasi, maka gai password, salah satu kelebihan lainnya kita tidak perluuntuk menentukan mana password yang benar dan salah salah mengkonfigurasikan cookie (seperti jika kita mempergunakansatu yang bisa kita pergunakan adalah dengan membanding- 59
  • 14. hydra saat membruteforce login aplikasi dvwa) atau variablelainnya yang diperlukan untuk login.1.4 RepeaterPerangkat selanjutnya adalah Repeater, yang merupakan per-angkat sederhana untuk secara manual melakukan modifikasi(manipulasi) dan menjalankan single HTTP requests dan se-cara langsung mendapatkan response dari aplikasi.Untuk memanfaatkan repeater, sebagaimana penggunaan per-angkat lainnya, kita cuma perlu melakukan klik kanan dan men-girim request (Single) ke repeater, untuk kemudian dimodifikasidan di kirimkan secara tersendiri.Untuk celah keamanan yang memungkinkan kita melakukaneksploitasi terkait hal ini adalah celah OS Command Injection,dan celah ini terdapat pada aplikasi DVWA, seperti pad a gam- Gambar request yang akan kita manipulasi secara terpisah dengan repeaterbar berikut ini: Dan celah keamana yang akan kita eksploitasi adalah pada ha- laman /vulnerabilities/exec/index.php pada variable ip seperti pada gambar berikut ini, 60
  • 15. Gambar eksploitasi celah keamanan OS Command Injection dengan repeater Gambar proses eksploitasi celah keamanan os command injection dnegan repeaterSelanjutnya adalah kita tinggal menggonta-ganti request yangada khususnya pada variable ip, dan hal ini akan mempermu-dah dan memberi banyak keleluasaan bagi kita dalam prosespenetration testing, dibandingkan mempergunakan browser un-tuk tiap request. 61
  • 16. 1.5 SequencerPerangkat ke-5 adalah sequencer, perangkat ini bermanfaat un-tuk melakukan proses analisa kualitas tingkat kerandoman daribeberapa sample data, sebagai contoh memeriksa session to-kens dari suatu aplikasi dsb. Sebagai contoh kita akan memeri-kas cookies dari aplikasi DVWA ini Gambar pemilihan lokasi token pada response yang akan dianalisa. Kemudian kita tinggal menjalankan Sequencer dengan menggu- nakan button Start Live Capture, kemudian akan tampil hala- man hasil analisa yang menunjukkan bahwa hasil tingkat keran- doman untuk token tersebut adalah excellent, seperti pada gam- bar berikut, Gambar pengiriman request ke sequencerKemudian, token yang akan kita analisa adalah PHPSESSIDseperti pad agambar berikut ini, 62
  • 17. 1.6 Decoder Perangkat selanjutnya adalah Decoder, perangkat ini sangat bermanfaat untuk melakukan decode terhadap berbagai jenis encode yang umum dipergunakan seperti URL, HTML, Base64, ASCII hex, Hex, Octal, Binary, dan GZIP serta juga mendukung encoding dengan tipe-tipe diatas juga. Selain itu perangkat decoder ini juga memiliki dukungan untuk melakukan Hashing dengan dukungan beberapa algoritma hash yang sudah umum, seperti: md5, md3, SHA, SHA -256, SHA-384, SHA-512Gambar hasil analisa tingkat kerandoman dari token yang dipilih Gambar Penggunaan Decoder 63
  • 18. 1.7 Comparer dengan security level high pada aplikasi DVWA, seperti pada gambar berikut,Burp comparer adalah perangkat yang berfungsi untuk melaku-kan perbandingan, seperti aplikasi diff pada unix, tetapi dalamhal ini yang dibandingkan adalah antara HTTP request atauantara HTTP Response. Untuk mengirim ke comparer dapatmelakukan click kanan item yang akan di compare kemudiandipilih request atau response-nya seperti pada gambar berikut Gambar melakukan compare 2 buah request Dari hasil perbandingan diatas kita mengetahui dan dapat mela- kukan modifikasi cookie untuk membuat security level kita low tanpa perlu melakukan set security pada aplikasi DVWA, seperti yang kita lakukan sebelumnya pada bagian proxy. Gambar Mengirimkan item ke ComparerSebagai contoh pemanfaatan Comparer adalah kita melakukanperbandingan antara login dengan security level low dan login 64
  • 19. 1.8 Scanner & 1.9 Extender (Pro-Only)Perangkat selanjutnya yang terdapat pada Burp suite adalahBurp Scanner dan Burp Extender. Kedua perangkat ini hanyatersedia pada Burp dengan versi Pro, dan tidak akan di bahassecara mendetail pada e-book ini.Sedang untuk penggunaan Scanner kita tinggal melakukan klik-kanan dan memilih mode aktif atau pasif, tetapi sebaiknya kitamendefinisikan Scope terlebih dahulu serta melakukan crawl-ing web aplikasi dengan Spider. Gambar hasil penggunaan Burp Scanner untuk aplikasi dvwa Dari hasil ujicoba tingkat keberhasilan burp dalam mendeteksi celah keamanan relatif cukup baik, burp juga meminimalisir ha- sil false positive, selain itu metode scanning yang dilakukan Gambar Penggunaan Scanner burp juga memberikan tingkat lebih dalah berhadapan denganDan hasil dari penggunaan Burp Scanner akan terdapat pada perangkat keamanan web seperti IDS, IPS dan Web Applica-tab scanner, seperti contoh berikut ini adalah melakukan scan- tion Firewall.ning terhadap aplikasi dvwa. 65
  • 20. Gambar validasi salah satu celah keamanan yang ditemukan Burp ScannerBurp Extender adalah salah satu fitur yang memungkinkanpengguna dan pengembang untuk mengembangkan penggu-naan dan fungsi dari Burp Suite, sebagai contoh adalah salahsatu extender sqlmap untuk Burp Suite yang di buat dan dikem-bangkan oleh Daniel Garcia Gambar SQLMap Extender untuk Burp Suite 66