Como fazer solicitações indesejadas para um site com Burp Suite

Índice

Hoje mostro porque é preciso ter cuidado e verificar muito bem a web para evitar problemas. Vamos a ver como você pode enviar solicitações a um site para comprar um item que não está disponível e como você vai nos deixar pelo Burp Suite, é uma falha de página por não verificar a operação corretamente.

ObservaçãoPor favor observe o seguinte:

  • Você pode fazer muito mais coisas além deste exemplo.
  • Esta técnica que mostro irá ajudá-lo a testar suas páginas da web e ver se há esses bugs.
  • O único propósito desta demonstração é que você veja os riscos que existem e quanto esforço seu negócio terá se as coisas não forem feitas da maneira certa desde o início.

É hora de começar o tutorial e ver como manusear e enviar pacotes para páginas da web através do Burp Suite.

Passo 1
Temos que fazer o download do Burp Suite, você precisará ter o java instalado, para isso clique aqui.

BAIXAR SUÍTE BURP

Passo 2
Execute o arquivo jar (Burp Suite) baixado na etapa 1. Para fazer isso usamos o seguinte comando no cmd ou terminal (Você deve ir para o diretório onde está o arquivo), onde diz file_name coloque o arquivo Burp Suite baixado etapa 1.

 java -jar nome do arquivo
A primeira coisa que vai sair é aceitar as condições, clicamos em eu aceito.

Na próxima janela damos Próximo.

Na tela que aparecerá agora você pode carregar as configurações ou deixá-las como padrão, vou deixá-las como vêm, e clicamos Iniciar arroto.

Quando o programa estiver aberto, clique na guia procuração e nas guias que vemos abaixo nós escolhemos Opções. Aqui vamos configurar um proxy para que todo o tráfego passe pelo programa.

Aqui é onde temos que configurar o proxy, então deixo para vocês algumas imagens da configuração que vocês devem ter.

PROLONGAR

[color = # a9a9a9] Clique na imagem para ampliar [/ color]

O resto da configuração (que não aparece aqui) é por padrão, visto que vem no Burp Suite. Agora para que cada pacote não seja interceptado vamos para a aba Interceptar e clicamos onde diz As interceptações estão ativadas, para que fique como mostro na imagem a seguir:

Já o configuramos.

etapa 3
Vamos para o nosso navegador preferido e nós o fazemos navegar na internet através do proxy que configuramos antes (IP: 127.0.0.1, porta: 8080). Vou fazer isso no Mozilla Firefox, devemos inserir as opções, como vemos na imagem a seguir:

Uma nova guia será aberta, nós escolhemos Avançado, e dentro Internet, lá vamos clicar em Configuração:

Nós configuramos como na próxima imagem e clicamos em Aceitar:

Passo 4
Já podemos navegar pelo proxy, então o Burp Suite já irá capturar os pacotes.
Navegamos até o site (no meu caso uma loja online) e vemos que eles não têm todos os tamanhos, neste caso vou comprar um tamanho 38, e um 40, para ver os dados das embalagens que são enviado.

Etapa 5
Procuramos no Burp Suite os pacotes enviados, para isso clique na guia AlvoO que estou interessado em ver é o pedido de compra, então olhamos os envios POST para a página que faz o "adicionar ao carrinho", e lá investigamos quais parâmetros podem nos servir.

ObservaçãoRetirei todas as informações da URL que estou fazendo a prova de conceito e partes do Burp Suite nas capturas, o importante é começar a levar a segurança a sério.

Etapa 6
Quando temos o pacote desejado e sabemos o que fazer, nós o selecionamos, clicamos com o botão direito do mouse e teremos várias opções, nós escolhemos Enviar para Repetidor:

Veremos que a opção de menu acima chamada Repetidor fica laranja, clicamos nele e veremos o seguinte:

PROLONGAR

[color = # a9a9a9] Clique na imagem para ampliar [/ color]

Se alterarmos os parâmetros aqui, podemos fazer solicitações ao servidor que não são permitidas da web (você também pode permitir solicitações), porque a página não está preparada para eles, e eles não deveriam ser feitos, mas graças ao Burp Suite você será capaz de mudar.

Nesse caso comprei vários tamanhos, pois quero 36 que não estão disponíveis, compro 38, 40, e descubro que nos pacotes POST há um identificador que muda 2 números e por coincidência eles têm a ver com os tamanhos, olhe as 2 fotos abaixo:

Então sim Eu mudo a linha para o pacote que envio para o Repetidor:

 cartAction = add & pid = 04376540940
Pelo seguinte:
 cartAction = add & pid = 04376540936
Vou adicionar o tamanho 36 ao carrinho? Vamos testar, para enviar o pacote modificado (ou não modificado) que damos Ir. Vemos na imagem a seguir como a solicitação foi processada corretamente.

PROLONGAR

[color = # a9a9a9] Clique na imagem para ampliar [/ color]

Se eu entrar no site e entrar no carrinho, vemos que o produto foi adicionado, ele nos mostra uma mensagem para excluí-lo de que não está disponível, mas não deve permitir adicioná-lo.

Agora não consigo clicar no botão para finalizar minha compra, o botão está cinza:

Para nada, clicamos com o botão direito do mouse e clicamos em inspecionar elemento, procuramos a opção desabilitada do botão e a eliminamos:

PROLONGAR

[color = # a9a9a9] Clique na imagem para ampliar [/ color]

Se vamos clicar no botão agora, ele nos permite finalizar nossa compra, pois nada mais faz do que verificar do lado do cliente:

Aqui, a única coisa que se tentou é aumentar a conscientização ao programar uma página web (não para atacar páginas), uma vez que existem muitas ferramentas que tornam mais fácil para nós fazermos coisas que não deveriam ser feitas, neste caso não. faz muito sentido comprar algo que eles não vão te mandar, mas se muitas pessoas fizerem isso, a empresa terá que devolver o dinheiro, o que significa que seus trabalhadores terão que se dedicar a isso e não poderão fazer outro trabalho.

Imagine se, em vez de adicionar um item indisponível ao carrinho, fizéssemos uma compra por € 0 e levássemos itens no valor de € 1000. Essas falhas existem na internet e as empresas devem estar atentas e investir na sua segurança, pois pode ser que essas falhas facilmente evitáveis ​​as levem à falência.

ObservaçãoSempre teste seus sites e descobrir as falhas que eles podem ter, com essa e outras técnicas, como a injeção de SQL. Não espere que um invasor os descubra.

Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo
wave wave wave wave wave