Импорт HTTP Archive (HAR) в Burp Suite
Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳
Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.
Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.
Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.
Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).
В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.
Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓
А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.
Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.
Всем хорошей пятницы 😁
#stingray #traffic #burp #har
Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳
Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.
Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.
Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.
Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).
В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.
Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓
А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.
Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.
Всем хорошей пятницы 😁
#stingray #traffic #burp #har
Интеграция Burp Suite и Frida - Brida
Продолжаю тему интеграций различных инструментов, в которых очень часто оказывается Frida 😅
Ещё давно я встречал плагин для Burp, который позволял отлавливать интенты в Android и работать с ними в Burp (повторять, фаззить и т.д.). Не могу сейчас найти это репо, но попробую.
И вот новый виток интеграции, как назвали его авторы - Brida.
Сам пока не смог протестировать, но судя по заявленному функционалу в репозитории, обещает быть очень интересным:
- большое количество готовых хуков для Android и для iOS, которые можно вызвать напрямую из GUI инструмента
- функциональность анализа бинаря, который представляется в виде дерева функций/классов и т.д. Возможность сразу навешивать хуки на интересующие методы и следить за их выполнением
- консолька для собственных хуков
И всё это из интерфейса BurpSuite!
Ну и в дополнение смотреть в одном инструменте сразу и запросы и результаты хуков может быть достаточно удобно.
У них достаточно много выступлений, неплохая документация. Из последнего, можно посмотреть видео с конференции Hack the Paris 2021
А так же два демо приложения в репозитории, на которых можно потестить (на них он должен работать :D )
Выглядит достаточно вкусно 🤓
#frida #ios #android #burp #integration
Продолжаю тему интеграций различных инструментов, в которых очень часто оказывается Frida 😅
Ещё давно я встречал плагин для Burp, который позволял отлавливать интенты в Android и работать с ними в Burp (повторять, фаззить и т.д.). Не могу сейчас найти это репо, но попробую.
И вот новый виток интеграции, как назвали его авторы - Brida.
Сам пока не смог протестировать, но судя по заявленному функционалу в репозитории, обещает быть очень интересным:
- большое количество готовых хуков для Android и для iOS, которые можно вызвать напрямую из GUI инструмента
- функциональность анализа бинаря, который представляется в виде дерева функций/классов и т.д. Возможность сразу навешивать хуки на интересующие методы и следить за их выполнением
- консолька для собственных хуков
И всё это из интерфейса BurpSuite!
Ну и в дополнение смотреть в одном инструменте сразу и запросы и результаты хуков может быть достаточно удобно.
У них достаточно много выступлений, неплохая документация. Из последнего, можно посмотреть видео с конференции Hack the Paris 2021
А так же два демо приложения в репозитории, на которых можно потестить (на них он должен работать :D )
Выглядит достаточно вкусно 🤓
#frida #ios #android #burp #integration
GitHub
GitHub - federicodotta/Brida: The new bridge between Burp Suite and Frida!
The new bridge between Burp Suite and Frida! Contribute to federicodotta/Brida development by creating an account on GitHub.
И ещё один способ поставить сертификат в системные на эмуляторе
Статья, носящая гордое название “Android Pentesting Setup On Mac M1” подразумевает под собой что-то интересное, учитывающее специфику нового чипа и вот это всё стильное, модное, молодежное.
Но по факту это просто описание, как поставить Android Studio, создать и запустить эмулятор 😢
Но есть и небольшая польза, в статье описан, наверное, самый простой способ добавления сертификата от берпа в системные, это запуск эмулятора с доступным на запись системным разделом и простое копирование туда файла сертификата.
Сертификаты системные лежат здесь /system/etc/security/cacerts. И все что нужно, это скачать и сконвертить сертификат от берпа и положить его в эту директорию. Ничего сложного, но статья описывает безумно подробно весь этот процесс.
Возможно будет полезно, если не хочется ставить Magisk.
#android #emulator #burp #proxy
Статья, носящая гордое название “Android Pentesting Setup On Mac M1” подразумевает под собой что-то интересное, учитывающее специфику нового чипа и вот это всё стильное, модное, молодежное.
Но по факту это просто описание, как поставить Android Studio, создать и запустить эмулятор 😢
Но есть и небольшая польза, в статье описан, наверное, самый простой способ добавления сертификата от берпа в системные, это запуск эмулятора с доступным на запись системным разделом и простое копирование туда файла сертификата.
Сертификаты системные лежат здесь /system/etc/security/cacerts. И все что нужно, это скачать и сконвертить сертификат от берпа и положить его в эту директорию. Ничего сложного, но статья описывает безумно подробно весь этот процесс.
Возможно будет полезно, если не хочется ставить Magisk.
#android #emulator #burp #proxy
Medium
Android Pentesting Setup On Macbook M1
Hello hackers,
Курс по Burp Suite (пока бесплатно)
Очень часто для работы с перехватом трафика используется очень полезный и мощный инструмент - Burp Suite. Это просто швейцарский нож и его возможности очень велики, как из коробки, так и благодаря различным плагинам и возможности написать свои собственные расширения.
Сегодня (ещё 20 часов) цена на 8-часовой курс по Burp бесплатно!
Название «BUG BOUNTY HUNTING WITH BURP SUITE» обещает много интересного и полезного материала.
Проведите выходные с пользой :)
#course #burp
Ещё можно
Очень часто для работы с перехватом трафика используется очень полезный и мощный инструмент - Burp Suite. Это просто швейцарский нож и его возможности очень велики, как из коробки, так и благодаря различным плагинам и возможности написать свои собственные расширения.
Сегодня (ещё 20 часов) цена на 8-часовой курс по Burp бесплатно!
Название «BUG BOUNTY HUNTING WITH BURP SUITE» обещает много интересного и полезного материала.
Проведите выходные с пользой :)
#course #burp
Ещё можно
Udemy
BUG BOUNTY HUNTING WITH BURP SUITE
How to Use Burp-Suite Features for better Bug Bounty Hunting. Advanced Burpsuite training course.
Статья для начинающих свой путь в Android
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp