:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/80/dc/80dc01258b6dda1e7b216323d5796051/0118518397.jpeg "Allesamt Highlights des Abends: Die Gewinnerinnen und Gewinner der Cloud Native Rockstar Awards 2024 gemeinsam mit den Moderatoren und Jury-Mitgliedern. (Bild: Vogel IT / <u><a target="_blank" href="https://www.cloudnativeconference.de/">Cloud Native Conference</a></u>)")
:quality(80)/p7i.vogel.de/wcms/b5/92/b592b98f6fa8f4d5393e7d1f26a9b1ab/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/88/af88b8b06a9613b86559b6999ef4ed8a/0118097195.jpeg "Auf der OCX 2024 will die Eclipse Foundation ihre verschiedenen Open-Source-Communities zusammenbringen, (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/4a/3d/4a3d398f19b8fa2044a3a9f0081e46f2/0118416942.jpeg "Die meistverwendeten Datenbank-Plattformen und die Anzahl ihrer Instanzen laut der Redgate-Umfrage. (Bild: Redgate)")
:quality(80)/p7i.vogel.de/wcms/99/39/9939f3b5fdaae42f3bf4ac2465270f2a/0117791750.jpeg "Das Azure-Vision-SDK lädt insbesondere Entwickler und Entwicklerinnen ein, sich mit der Materie zu befassen. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/5b/85/5b853b09ae4f974cb97b58e5cb8e759b/0118249571.jpeg "Je nach „Betätigungsfeld“ muss ein passendes Sprachmodell zum Einsatz kommen, das außerdem gewissen Spielregeln folgt. (© Imagecreator – stock.adobe.com)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Webanwendungen analysieren und Sicherheitslücken schließen Burp Suite für Penetrationstests nutzen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Die Burp Suite bietet eine Plattform für die Sicherheitsanalyse von Webanwendungen. Anwender können tiefgehende Pentests durchführen, die von der Manipulation einzelner HTTP-Anfragen bis hin zur Automatisierung komplexer Authentifizierungsprozesse reichen.
Die Open Source-Lösung Burp Suite gehört sicherlich zu den bekanntesten Lösungen, wenn es darum geht Sicherheitslücken in Webanwendungen durch Pentests zu finden. Da die Lösung mit der Burp Suite Community Edition auch auf Kali-Linux zur Verfügung steht, lässt sie sich relativ unkompliziert in Betrieb nehmen. Aber auch auf anderen Systemen reicht oft schon ein „sudo apt install burpsuite“. Die Fähigkeit, den Datenverkehr zu analysieren, zu modifizieren und zu überwachen, ermöglicht eine präzise Untersuchung potenzieller Sicherheitslücken mit der Burp Suite. Der Einsatz ist daher für Unternehmen, die Webanwendungen nutzen, sehr sinnvoll.
:quality(80)/p7i.vogel.de/wcms/b3/9b/b39b795f240f9453270f65adb7efa0ca/0117055408.jpeg "Starten eines Tests mit der Burp Suite.")
:quality(80)/p7i.vogel.de/wcms/54/fe/54fe140556441d0fdc44d8dc039651f6/0117055410.jpeg "Auswählen der Einstellungen für den Start der Burp Suite.")
:quality(80)/p7i.vogel.de/wcms/24/33/2433ccc3328586da02cb29430ae4b5a0/0117055416.jpeg "Konfigurieren des Test-Projektes in der Burp Suite.")
:quality(80)/p7i.vogel.de/wcms/77/0f/770faba5fc0688909fce32378ab2609f/0117055411.jpeg "Anpassen der Proxy-Einstellungen in der Burp Suite.")
Burp Suite starten und erste Tests durchführen
Der Start der Burp Suite erfolgt am Beispiel vom Einsatz mit Kali über die Programmgruppe „Web Application Analysis -> Burpsuite“. Danach wird ein neues Projekt angelegt. Nach der Auswahl von „Temporary project in memory“ kann entweder eine vorkonfigurierte Konfigurationsdatei eingelesen werden, oder es erfolgt die Auswahl von „Use Burp default“ und anschließend „Start Burp“. Wenn das Projekt gestartet ist, lassen sich in der Oberfläche Angriffe auf Webanwendungen durchführen und diese auf Sicherheitslücken hin testen.
Um einen Sicherheitstest im Netzwerk mit der Burp Suite durchzuführen, beginnt man mit dem Starten der Burp Suite. Hierbei wählt man ein neues oder vorhandenes Projekt aus und folgt den Anweisungen bis zur Hauptoberfläche. Als Nächstes konfiguriert man den Proxy-Listener, indem man zu "Proxy" > "Proxy settings" navigiert und sicherstellt, dass ein Listener auf 127.0.0.1:8080 aktiv ist, oder fügt bei Bedarf einen neuen hinzu.
Für die Analyse des HTTPS-Verkehrs ist es teilweise erforderlich, das CA-Zertifikat von Burp im Browser zu installieren. Um sicherzustellen, dass der gesamte Browser-Verkehr durch die Burp Suite geleitet wird, passt man die Proxy-Einstellungen des Browsers entsprechend an, indem man 127.0.0.1 und Port 8080 angibt. Wichtig ist, dass der Datenverkehr im Browser über die Proxy-Einstellungen zu Burp geschickt wird.
Anschließend definiert man den Umfang des Tests in der Burp Suite unter "Target" > "Scope settings", indem man "Add to scope" auswählt und die Adresse der Webanwendungen hinzufügt. Mit aktiviertem "Intercept" unter "Proxy" > "Intercept" beginnt die Erfassung des Datenverkehrs, sobald man die Webseite im Browser besucht. Jede Anfrage und Antwort lässt sich im "HTTP history"-Tab unter "Proxy" analysieren.
Für eine tiefergehende Untersuchung wählt man relevante Anfragen aus der Historie aus, sendet diese an "Intruder" und konfiguriert dort Angriffspositionen und Payloads, um verschiedene Sicherheitslücken wie SQL-Injection oder XSS zu simulieren. Zusätzlich führt man passive und aktive Scans durch, indem man die Ziel-URL an den Scanner sendet und die Scan-Ergebnisse im "Dashboard"-Tab überwacht.
Burp Suite kann auch fortgeschrittene Techniken für Pentests nutzen
Fortgeschrittene Techniken wie die Anpassung des Proxy-Listeners, die Konfiguration von Target Scopes und die Nutzung des Sequencers zur Analyse von Sitzungs-Tokens erweitern das Spektrum der Sicherheitstests erheblich. Die Integration des Burp Collaborators eröffnet zusätzliche Möglichkeiten für Tests externer Interaktionen, während die Performance-Optimierung sicherstellt, dass auch umfangreiche Analysen effizient durchgeführt werden können.
Um komplexe Authentifizierungsmechanismen zu testen, bietet die Burp Suite Werkzeuge zur Automatisierung von Anmeldevorgängen. Interessant sind hier die Session-Handling-Regeln. Durch das Hinzufügen einer neuen Regel und Konfigurieren der Details können Admins automatisierte Login-Sequenzen erstellen, die sicherstellen, dass die Burp Suite während der Tests angemeldet bleibt. Dies ist besonders nützlich bei Webanwendungen, die nach kurzer Inaktivität automatisch abmelden.
Die Funktion "Match and Replace" im "Proxy" > "Proxy settings"-Tab ermöglicht es, spezifische Teile des HTTP-Datenverkehrs automatisch zu erkennen und zu modifizieren. Admins fügen neue Regeln hinzu, indem sie auf "Add" klicken und Kriterien für das Suchen und Ersetzen definieren. Diese Funktion kann beispielsweise dazu verwendet werden, benutzerdefinierte Header zu jeder Anfrage hinzuzufügen oder spezifische Werte in Anfragen dynamisch zu ändern.
Einsatz des Compare-Tools für differenzierte Analysen
Das "Compare"-Tool ermöglicht den direkten Vergleich von zwei Stücken von Daten, beispielsweise Anfragen, Antworten oder anderen Texten. Durch das Laden der zu vergleichenden Datenpunkte in die beiden Fenster des Tools lassen sich Unterschiede leicht erkennen. Diese Funktion ist besonders wertvoll, um die Effekte von Sicherheitstests zu analysieren oder die Konsistenz von Anwendungsausgaben zu überprüfen.
Der Burp Collaborator ist ein mächtiges Werkzeug für Tests, die externe Interaktionen erfordern, wie DNS-Abfragen oder SMTP-E-Mails im Rahmen von Sicherheitslücken wie Server Side Request Forgery (SSRF) oder Blind Injection-Angriffen. Dieser steht allerdings nur in der Pro-Edition der Burp Suite zur Verfügung.
Die Erweiterbarkeit durch den BApp Store und die Möglichkeit, eigene Tools über die Burp API zu entwickeln, heben die Flexibilität und Anpassungsfähigkeit der Burp Suite hervor. Dies erlaubt es Anwendern, die Funktionalität spezifisch auf ihre Bedürfnisse zuzuschneiden und die Effektivität ihrer Sicherheitstests zu maximieren.
(ID:49987333)
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/9a/b39aa13cc05be9327f07e65ce13d19dd/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")