Web Application Security Testing
Burp Suite è lo standard per testare la sicurezza delle applicazioni web.
1. Setup
- Avvia Burp Suite da Kali (menu Applications > Web Analysis)
- Configura il browser con proxy 127.0.0.1:8080
- Importa il certificato CA di Burp nel browser
2. Moduli principali
- Proxy: intercetta e modifica richieste HTTP in tempo reale
- Scanner: rileva automaticamente vulnerabilità (XSS, SQL injection, etc.)
- Repeater: invia richieste modificate e analizza le risposte
- Intruder: test automatizzati con payload personalizzati
- Decoder: codifica/decodifica Base64, URL encoding, hash
3. Workflow tipico
- Naviga l’applicazione con il proxy attivo (mappa tutte le pagine)
- Analizza la Site Map per trovare punti di ingresso
- Usa il Repeater per testare manualmente i parametri
- Lancia lo Scanner automatico sulle aree sospette
- Documenta le vulnerabilità trovate
4. Test comuni
- Injection: SQL, XSS, command injection nei parametri
- Autenticazione: bypass, session fixation, token deboli
- Autorizzazione: IDOR, privilege escalation
- Upload: bypass filtri file, web shell detection
Risultato: Analisi approfondita della sicurezza di qualsiasi applicazione web.