Ich versuche, die Sicherheit von Webanwendungen zu erlernen mitbWAPP(Eine fehlerhafte Webanwendung), die mit XAMPP auf einem Windows-Rechner gehostet wird. Ich habe den Proxy ( 127.0.0.1:8080
) im Browser richtig konfiguriert und erhalte Warnmeldungen in der Burp Suite.
EinStarterpaket für sofortiges RülpsenDie Anleitung schlägt vor, dass das Ausnahmefeld ... vollständig leer sein sollte. In Firefox sind localhost, 127.0.0.1
im Ausnahmefeld standardmäßig Werte vorhanden No Proxy For:
. Wenn ich die Einträge entferne, um der Anleitung zu folgen, kann ich localhost/bWAPP/login.php
im Browser nicht auf die bWAPP-Anmeldeseite zugreifen.
Wenn ich Ausnahmen für localhost habe, funktioniert es im Browser einwandfrei, aber dann nimmt Burp Suite keinen damit in Zusammenhang stehenden Datenverkehr auf 127.0.0.1
.
Ist die gesamte Konfiguration fehlerhaft oder übersehe ich etwas?
Antwort1
Stellen Sie sicher, dass Sie den Port nicht in das Hostfeld „Zielbereich“ von Burp Suite schreiben. Schreiben Sie beispielsweise nicht „localhost:8081“. Schreiben Sie stattdessen „localhost“ in das Hostfeld und „8081“ in das Portfeld.
Antwort2
Geben Sie about:config in die Registerkarte des Firefox-Browsers ein, suchen Sie nach no_proxies_on und entfernen Sie den Inhalt aus dem Wert
Das Bearbeiten des UI-Felds „Kein Proxy für“ sollte diesen Wert automatisch ändern, aber aus irgendeinem Grund wurden die UI-Werte mit dieser Einstellung nicht synchronisiert. Ich bin derzeit dabei, die Grundursache zu debuggen.
Antwort3
Gehen Sie zu about:config und ändern Sie network.proxy.allow_hijacking_localhost auf true
Antwort4
In diesem Szenario können Sie die Ihrem Router zugewiesene IP-Adresse verwenden, um den Datenverkehr von Apps abzufangen, die auf Ihrem ausgeführt werden localhost
.
Bsp. 192.168.1.156
Wenn Ihre App auf Portnummer 80 gehostet wird, durchsuchen Sie die App im Browser mit http://192.168.1.156/
. Burp Suite wird den Datenverkehr der auf Ihrem lokalen Host gehosteten Apps mit Sicherheit erfassen und abfangen.
Sie können Ihre IP-Adresse mit dem folgenden Befehl ermitteln:
- Für Windows:
ipconfig
- Für Linux:
ifconfig