Wie funktioniert die Intercept-Funktion der Burp Suite?

Als Web-Proxy, der für Penetrationstests, insbesondere die Änderung Ihres Web-Traffics, entwickelt wurde, sollten Sie Burp verwenden, um Ihren Web-Traffic abzufangen und zu ändern. Sobald Sie Burp installiert und Ihr System so konfiguriert haben, dass es Ihren Webverkehr über den Proxy leitet, gibt es eine Reihe von Möglichkeiten, Ihren Datenverkehr anzuzeigen und zu ändern.

Die HTTP-Verlaufsfunktion, die sich im Unterregister „HTTP-Verlauf“ des Registers „Proxy“ befindet, ermöglicht es Ihnen, alle Ihre Anfragen in chronologischer Reihenfolge anzuzeigen. Die Sitemap im Unterreiter „Sitemap“ des Reiters „Ziel“ ermöglicht es Ihnen, Ihre Anfragen zu durchsuchen, auf welcher Website und Seite sie aufgerufen wurden. Von hier aus können Sie Ihre Anfragen an Repeater senden und diese dann nach Belieben anpassen.

Die andere Möglichkeit besteht darin, die Abfangfunktion zu verwenden, die sich auf der Unterregisterkarte „Abfangen“ der Registerkarte „Proxy“ befindet. Mit Intercept können Sie Anfragen und Antworten live zwischen Ihrem Browser und dem Webserver abfangen und ändern. Das bedeutet, dass Sie jede von Ihrem Browser gesendete Anfrage sehen und genehmigen oder jede von Ihrem Browser gesendete Anfrage ändern können. Es ist ein sehr nützliches Tool, da Sie ohne weitere Einrichtung das Ergebnis Ihrer Anfrage sofort im Browser sehen können.

Sie können das Abfangen im Unterregister „Abfangen“ des Registers „Proxy“ ein- und ausschalten. Klicken Sie dazu einfach auf „Intercept is on“ oder „Intercept is off“, um Intercept aus- bzw. einzuschalten. Alle Anforderungen und Antworten zum Abgleich von Regeln werden in einer chronologischen Warteschlange gehalten und warten auf ihre Genehmigung. Wenn Sie Intercept deaktivieren, wenn eine oder mehrere Nachrichten zur Genehmigung anstehen, werden alle automatisch genehmigt, ebenso wie das Deaktivieren von Intercept.

Tipp: Das Deaktivieren von Intercept verhindert nicht, dass Burp Ihren Datenverkehr abfängt, es wird nur in diesem Tool angezeigt, wenn die Funktion aktiviert ist.

„Weiterleiten“ sendet die Nachricht so, wie sie aktuell erscheint, einschließlich aller von Ihnen vorgenommenen Änderungen. „Drop“ löscht die Nachricht und verhindert, dass sie jemals ihr Ziel erreicht. „Aktion“ öffnet das Rechtsklick-Menü. „Open Browser“ öffnet eine portable Version von Google Chrome, die so vorkonfiguriert ist, dass sie mit Burp funktioniert, auch wenn Ihr System nicht auf Proxy-Datenverkehr durch Burp eingestellt ist.

Wenn eine Nachricht abgefangen wird, leuchten die Titel der Registerkarten "Proxy" und "Abfangen" und der Unterregisterkarten auf, ebenso wie das Burp Suite-Symbol, wenn Sie sich nicht auf das Fenster konzentrieren.

Klicken Sie auf „Intercept is on“, um die Intercept-Funktion zu deaktivieren.

Im Unterregister „Optionen“ des Registers „Proxy“ können Sie die Regeln konfigurieren, für die Anfragen und Antworten automatisch an das Intercept-Tool gesendet werden. Standardmäßig werden nur Anfragen abgefangen, Sie können die vorhandenen Regeln aktivieren oder bearbeiten oder Ihre eigenen benutzerdefinierten Regeln hinzufügen.

Tipp: Es wird empfohlen, nur Datenverkehr abzufangen, den Sie möglicherweise ändern möchten. Wenn Sie jede Anfrage und Antwort abfangen, verzetteln Sie sich mit all den kleinen Anfragen und Antworten für Bilder und Skripte usw. In den meisten Fällen sind die Standardeinstellungen eine gute Option, obwohl Sie sie möglicherweise auf Anfragen beschränken möchten die sich „im Zielbereich“ befinden, wenn Sie die Bereichsfunktion verwenden.

Konfigurieren Sie die Regeln, für die Anfragen und Antworten an Intercept weitergeleitet werden, im Unterreiter „Optionen“ des Reiters „Proxy“.