Das Sicherheitswerkzeug Burp-Suite ist in Java geschrieben. Der Hersteller bietet eine kostenlose Community-Version sowie eine kommerzielle Variante mit größerem Funktionsumfang an. Die kostenlose Version können Sie sich beim Hersteller herunterladen . Bei Kali Linux gehört die Burp-Suite bereits zum vorinstallierten Standardinventar.
Die Burp-Suite ist wie alle Werkzeuge dieser Art ein ambivalentes Tool: Sie können und dürfen damit Ihre eigenen Webdienste kontrollieren, beim Analysieren fremder Server benötigen Sie meist die Genehmigung des Besitzers.
Wie die Software funktioniert
Die Burp-Suite arbeitet als lokaler Proxyserver – als Zwischenstation, auf welche sämtlicher Netzverkehr zwischen Browser und Serveranwendung umgeleitet wird. So kann die Software den kompletten Datenverkehr abfangen und aufzeichnen. Auf diesen Weg lassen sich gezielt Lücken einer Anwendung finden und testen, indem beispielsweise Zeichenketten für Scripts gezielt manipuliert werden.
Damit Burp-Suite den Datenverkehr analysieren kann, starten Sie zunächst das Programm. Benutzen Sie im Assistenten einfach das angebotene temporäre Projekt und belassen Sie es bei den vorbereiteten Einstellungen. Das Prinzip des Programms wird sofort deutlich, wenn der Burp-Proxy auf dem gleichen Rechner wie der Browser läuft. Nachdem die Burp-Suite gestartet ist, rufen Sie den Browser auf und wechseln dort in dessen Einstellungen. Aktivieren Sie dort einen Proxyserver, etwa unter Firefox über „Einstellungen –› Allgemein –› Netzwerk- Proxy“. Hier schalten Sie auf „manuelle Konfiguration“ und verwenden als Adresse „localhost“ mit dem Port 8080. Im Register „Proxy –› Intercept“ der Burp-Suite deaktivieren Sie „Intercept ist on“.
Rufen Sie mit dem Browser jetzt eine Seite im Internet auf. Wahrscheinlich erhalten Sie die Rückmeldung, dass die Verbindung nicht sicher ist. Da die meisten Onlineangebote inzwischen SSL-gesicherte Verbindungen anbieten (HTTPS), stört der Proxy die sichere Kommunikation. Deswegen installieren Sie zunächst ein von Burp ausgestelltes Zertifikat im Browser.
Rufen Sie dazu „http://burp“ auf (dabei muss die Burp-Suite laufen). Klicken Sie auf „CA Certificate“ und speichern Sie die Datei. In Firefox importieren Sie das Zertifikat mit „Einstellungen –› Datenschutz & Sicherheit“. Über „Zertifikate anzeigen“ können Sie im Reiter „Zertifizierungsstellen“ über „Importieren“ das Zertifikat einbinden. Danach sollte der Abruf von HTTPS-Seiten gelingen. Jetzt schalten Sie in der Burp-Suite wieder auf „Intercept is on“, wenn Sie die Datenpakete vor der Weiterleitung untersuchen wollen.
Siehe auch: Nikto findet Server-Schwachstellen
Netzwerkverkehr mitschneiden und prüfen
Die Burp-Suite ist eine ganze Sammlung von Werkzeugen, wobei der Proxyserver die Grundlage bildet. Wer etwa Schwachstellen von Anwendungen herausfinden will, sucht sich zunächst alle Parameter zusammen, die der Browser an den Server schickt. Anschließend kann er damit experimentieren. Beispielsweise verlassen sich Entwickler oft darauf, dass sie nur gültige Werte bei Abfragen erhalten. Sie sparen sich die Mühe, genau zu definieren, welche Angaben zulässig sind. So können Angreifer dann etwa Code in eine Abfrage einschleusen, die in der Datenbank Änderungen vornimmt.
Bei der Durchsicht des Datenverkehrs fallen Informationen auf, die als „hidden“ in einem Formular markiert wurden, aber übermittelt werden. Rufen Sie in solchen Fällen die Zieladresse in Ihrem Browser auf. Sie stellen fest, dass sich die Website nicht sofort vor Ihnen aufbaut. Sie wechseln zum Fenster der Burp-Suite und müssen im Register des Proxys erst auf „Forward“ klicken, damit die Anfrage tatsächlich übermittelt wird. Er wird in der Liste am unteren Rand des Bildschirms dargestellt. Darin könnten Sie vor dem Absenden gezielt Werte verändern oder solche Eingaben an die weiteren Werkzeuge schicken.
Konkretes Beispiel: Passwörter oder Benutzernamen erraten
Wie funktionieren die in den Registern angeordneten Werkzeuge im Zusammenspiel? Ob durch einen Zufall oder gezielt könnte ein Angreifer mit einem Tool wie Dirbuster und Nmap herausgefunden haben, dass auf einem Server eine Instanz von Owncloud installiert ist. Im Anschluss aktiviert er die Burp-Suite und den Proxyserver, lässt die Datenpakete aber passieren, deaktiviert also die Option „Intercept“. Bei einer bekannten Anwendung wie Owncloud ist es nicht schwer herauszufinden, über welche URL die Benutzeranmeldung aufgerufen wird. Genau das würde ein Angreifer jetzt tun. Damit hinterlässt er in der Burp-Suite in der Historie einen Eintrag in der Liste im Abschnitt „Proxy“. Diesen Request klickt er mit der rechten Maustaste an und nutzt aus dem Kontextmenü den Eintrag „Send to Intruder“.
Der „Intruder“ (Eindringling) stellt in seinen Registern alle Funktionen zur Verfügung, mit der sich per „Brute Force“ Dateneingaben erzwingen lassen. Im Register „Position“ kann bei Bedarf die Stelle innerhalb des Requests verändert werden, an der der Benutzername an den Server übertragen werden soll. Ein Eingreifen ist aber häufig gar nicht notwendig. Für die Attacke benötigt der Intruder natürlich noch „Munition“. Diese wird innerhalb des Registers „Payload“ zusammengestellt. Darin ist praktischerweise auch eine Schablone, um Benutzernamen auszuprobieren. In den Optionen wird abschließend noch definiert, welche Rückmeldungen des Servers gespeichert werden.
Sind die Rahmendaten definiert, kann die Attacke gestartet werden. Bei einem solchen Angriff kommt es aus Sicht des Angreifers nun auf das Verhalten der Anwendung an. Diese reagiert unterschiedlich auf einen gänzlich unbekannten Nutzer und einen bekannten Nutzer, der nur sein Passwort falsch eingetragen hat. Über diesen Unterschied kann der Angreifer, nachdem er erst einmal den Benutzernamen herausgefunden hat, versuchen, das Passwort zu ermitteln.
Uns geht es an dieser Stelle nur um die Wirkungsweise der Werkzeuge. Denn der beschriebene Beispielangriff ist relativ primitiv. Brute-Force-Attacken auf Passwörter können Sie als Administrator recht einfach durch eine automatische Sperrung des entsprechenden Benutzerkontos nach einer bestimmten Zahl an Versuchen einschränken. Und eine erfolgreiche Brute-Force-Attacke läuft komplett ins Leere, wenn für die eigentliche Anmeldung eine Zwei-Faktor-Authentifizierung eingerichtet wurde.
Anleitung: Linux-Server rundherum absichern
Automatische Analyse für Premium-Nutzer
Zur Burp-Suite gehört zusätzlich das Werkzeug „Scanner“, mit dem sich Serveranwendungen gezielt auf Schwachstellen untersuchen lassen. Doch dieser Service hat seinen Preis. Die Funktion ist eine Premium-Funktion, für die pro Jahr 350 Dollar fällig werden. Die Anschaffung lohnt sich aber für Firmen, die regelmäßig eigene Anwendungen für das Web entwickeln. Denn der Scanner setzt die Burp-Suite quasi in den automatischen Modus, um beispielsweise Lücken aufzudecken, die das Einschleusen von schädlichem Code erlauben.