Moduly pro manuální penetrační testování webové aplikace

Abstract

Cieľom práce bolo vytvorenie modulu pre program Burp Suite, vďaka ktorému bude možná výmena dát medzi Burp Suite a inými automatizovanými nástrojmi. Súčasťou práce bol aj vývoj webovej aplikácie zobrazujúcej informácie o nálezoch. V kapitole dva sa nachádza analýza nástrojov, s ktorými sa penetračný testeri bežne stretávajú a s ktorými by mohol modul spolupracovať. Ako programovacie jazyky boli použité Java a JavaScript. Vytvorený modul umožňuje prijímanie dát a ich vkladanie do modulov ako Repeater, Intruder, Scanner. Ďalej modul umožňuje odosielanie dát obsiahnutých v Burp Suite, napr. proxy históriu, sitemapu alebo informácie onálezoch externým klientom vo formáte JSON pre ďalšie spracovanie. Pri vývoji Webovej aplikácie bola použitá JavaScriptová knižnica React. Webová aplikácia slúži ako informačný panel s grafickou vizualizáciou nálezov.The main goal of this master's thesis was development of Burp Suite extension capable of interacting with various other automated tools, accompanied with development of a web application. Chapter two contains analysis of tools commonly used in penetration testing that could benefit from the ability to share Burp Suites data or functionality. The programming languages used were Java and JavaScript. The extension acts as a gateway to inner functionality of Burp Suite. It enables exfiltration of in memory objects such as sitemap, proxy history or found issues in JSON format to other tools, and also listens for incoming data that can be inserted into it's existing modules such as Repeater, Scanner, Spider or Comparer. Frontend application was written using JavaScript library React. The web application offers a graphical visualization of issue data.