Bezpečnostní analýza nástroje pro penetrační testování webových aplikací

Abstract

Tématem předkládané práce je bezpečnostní analýza nástroje pro provádění penetračních testů - Burp Suite. V teoretické části práce je nejprve popsána samotná aplikace, její možnosti a základy běžného používání. Následuje vysvětlení fungování protokolu WebSockets. Praktická část se skládá z manuálního testování vybraných částí aplikace, automatizovaného skenování, vytvoření aplikace k provedení podrobné analýzy implementace WebSocket protokolu pomocí fuzzingu a nakonec prozkoumání síťového provozu, který Burp generuje na pozadí. Podařilo se nám najít několik drobných chyb, jako například webserver, který porušuje HTTP standard nebo nezdokumentované REST API volání. Navíc se povedlo rozklíčovat většinu síťového provozu, který Burp generuje a ověřit, že tento neobsahoval citlivá nebo podezřelá data.The subject of the presented thesis is a security evaluation of a penetration testing tool - Burp Suite. A theoretical part first describes the application, its features, and ordinary usage. Later, we explain how a WebSocket protocol works. The practical part consists of a manual evaluation of specific components of this application, running automated scans, developing a fuzzer application to make an in-depth analysis of the WebSocket implementation, and examining network traffic, which Burp generates in the background. We identified several minor flaws such as webserver violating the HTTP standard, or an undocumented REST API call. Moreover, we managed to decipher most of Burp's network traffic and verify that it does not contain sensitive or suspicious data.