Burp Suite: Penetration test di mobile app e web

burp suite

Burp Suite è un software progettato per analizzare il traffico di rete generato da applicazioni web-based

Utilizzato per esaminare e manipolare il flusso di dati dal browser web verso il server di riferimento, come ad esempio un sito Internet, è strutturato in una serie di strumenti che consentono all’utente di eseguire diversi Penetration Test e attacchi di vario genere.

E’ composto principalmente da questi componenti:

  • Proxy: permette di ispezionare e manipolare il traffico di rete tra il brower web e l’applicazione da analizzare.
  • Spider: indicizza il contenuto del sito, generando una lista di URL da verificare per individuare eventuali falle di sicurezza.
  • Scanner:  questo tool, disponibile solamente con la versione “Professional”, esegue uno scan automatizzato in cerca di vulnerabilità note pubblicamente.
  • Intruder: utile per generare attacchi personalizzati, quindi exploit non presenti del database di Burp Suite.
  • Repeater: registra ogni richiesta eseguita tra client e server e permette di riprodurla successivamente simulando l’identità dell’emittente.
  • Sequencer: permette di verificare la “casualità” dei dati, ad esempio gli ID di sessione, i token utilizzati per il reset delle password, ecc.

Sono disponibili due versioni di questo software: Free Edition e Professional Edition.

Penetration Test: 7 tool per la sicurezza dei tuoi dati

Il penetration test evidenza lacune sul patching dei sistemi, disattenzioni e scarsa cultura sulla sicurezza

[Aggiornamento articolo Aprile 2017] Per verificare se un sistema informatico è afflitto da una vulnerabilità nota pubblicamente, utilizzando software automatici ed eseguendo uno scan, vengono registrate tutte quelle informazioni rilasciate in fase di connessione che non richiedono autenticazione, come ad esempio il nome del programma in ascolto, il numero di versione, ecc. Questi dati, vengono successivamente utilizzati per eseguire una ricerca all’interno di un “database delle vulnerabilità”, costantemente aggiornato dalla software house che sviluppa l’applicazione usata in fase di test.

Tale operazione di Penetration Test, detta anche “Security Assessment“, può generare una serie di “falsi positivi”, poichè differenti programmi possono dare origine a risultati diversi, per via del loro database, in base alle opzioni utilizzate eseguendo lo scan e perchè applicando una patch di sicurezza, non sempre viene aggiornata la versione del servizio sottoposto al controllo e le informazioni fornite all’utilizzatore.

Tutto ciò, evidenzia l’importanza di un “penetration test”, che riproduce un attacco nella maniera più reale possibile e mette alla luce tutte quelle che sono le vere insicurezze di cui è affetto un sistema.

Accedi

Registrati | Password dimenticata?