Wtyczki

Param Miner w Burp Suite – jak odkrywać ukryte parametry aplikacji

W testach bezpieczeństwa aplikacji webowych często okazuje się, że aplikacja przyjmuje więcej parametrów niż te, które są widoczne w interfejsie lub dokumentacji. Odkrycie takich ukrytych parametrów może prowadzić do znalezienia poważnych podatności – np. obejścia autoryzacji czy web cache poisoning.
Jednym z najlepszych narzędzi wspierających ten proces jest Param Miner, dostępny jako dodatek do Burp Suite.

Instalacja i wymagania

Param Miner można zainstalować bezpośrednio z Burp Store – działa zarówno w wersji Professional, jak i Community.
Jeżeli nie mamy dostępu do internetu, możliwa jest instalacja manualna z pliku BAPP pobranego wcześniej.

Warto też zajrzeć na GitHub projektu, aby sprawdzić changelogi i przykłady użycia.

Jak działa Param Miner?

Param Miner automatycznie sprawdza, jak aplikacja reaguje na dodatkowe, często losowe parametry dodane w różnych miejscach zapytania. Może je umieszczać w:

  • Nagłówkach (Guess Headers) – np. testując, czy aplikacja reaguje inaczej po dodaniu nagłówka X-Ble: 1.
  • Parametrach w URL (Query Parameters) – np. sprawdzając, czy parametr foo=1 zmienia odpowiedź.
  • Ciele żądania (Body Parameters) – np. w JSON lub POST.
  • Ciasteczkach (Cookies) – dodając nowe wartości i obserwując odpowiedź serwera.

Różnice w odpowiedziach mogą sugerować istnienie ukrytych lub wrażliwych parametrów.

Konfiguracja i ustawienia

Po uruchomieniu ataku w Extensions → Param Miner pojawia się okno konfiguracji. Najważniejsze opcje to:

  • Thread pool size – liczba równoległych zapytań. Domyślnie jest 8, ale w środowiskach z ograniczeniami lepiej zmniejszyć do 1–2.
  • Custom word list path – możliwość podania własnej listy potencjalnych nazw parametrów.
    • Domyślna lista zawiera popularne nazwy (id, name, password).
    • Polecana jest np. lista SecLists → burp-parameter-names.txt, która obejmuje rzadkie i nietypowe parametry.

To ustawienie ma ogromny wpływ na skuteczność testów

Przykłady użycia

Odnajdywanie brakujących parametrów
W testowej aplikacji po usunięciu parametru name żądanie przestawało działać. Param Miner, po uruchomieniu na body params, zidentyfikował brakujący parametr i wskazał, że name powinien być obecny.

Testowanie nagłówków
Atak typu Guess Headers pozwala sprawdzić, czy aplikacja reaguje na dodatkowe nagłówki. To może ujawnić np. ukryte funkcjonalności administracyjne.

Cookies injection
Param Miner potrafi dodawać własne wartości do ciasteczek i obserwować zmiany. Bywa to przydatne w testach refleksji danych lub obejścia mechanizmów autoryzacji.

Wyniki działania dodatku Param Miner:

Param Miner a Web Cache Poisoning

Dodatek przydaje się również do wykrywania podatności typu Web Cache Poisoning.
Polega ona na tym, że wstrzyknięty parametr (np. X-Forwarded-Host) zostaje zapamiętany w cache aplikacji i serwowany innym użytkownikom.
W praktyce może to oznaczać np. masowe przekierowanie użytkowników na złośliwą stronę

Obszerna dokumentacja w tym temacie na stronie Portswigger:

Najlepsze praktyki

Zawsze korzystaj z własnych wordlist, aby zwiększyć skuteczność testów.

Używaj trybu guess everything tylko wtedy, gdy masz dużo czasu – generuje bardzo dużo żądań.

Łącz Param Miner z innymi narzędziami (np. GAP) w celu odkrywania potencjalnych parametrów do dalszych testów.

Analizuj różnice w odpowiedziach serwera – to one są kluczem do identyfikacji nowych wektorów ataku.

Podsumowanie

Param Miner to jedno z najważniejszych rozszerzeń w arsenale pentestera korzystającego z Burp Suite.
Pozwala on odkrywać ukryte parametry, które mogą prowadzić do poważnych podatności – od obejścia autoryzacji po zatrucie cache.

Dzięki prostocie obsługi i elastycznym ustawieniom (wordlisty, tryby testów), sprawdza się zarówno w testach manualnych, jak i w programach Bug Bounty.

Wtyczki

Hackvertor w Burp Suite – praktyczne zastosowania w testach bezpieczeństwa

Burp Suite to nieodłączny element pracy pentestera. Oprócz wbudowanych modułów, takich jak Repeater, Intruder czy Scanner, ogromnym wsparciem są dodatki z Burp App Store. Jednym z najciekawszych i najczęściej wykorzystywanych jest Hackvertor – narzędzie do kodowania, dekodowania i automatyzacji pracy z payloadami.

W tym wpisie pokażę, dlaczego Hackvertor jest tak przydatny i jak można go wykorzystać w codziennych testach bezpieczeństwa.

Instalacja Hackvertora

Dodatek można zainstalować bezpośrednio z Burp App Store – działa zarówno w wersji Pro, jak i Community (choć w tej drugiej z ograniczeniami, np. w Intruderze czy bez dostępu do skanera).

Możliwa jest także instalacja manualna – wystarczy pobrać plik BAPP z repozytorium GitHub i zaimportować go w Burp Suite.

Dzięki temu mamy dostęp do najnowszych aktualizacji i nowych funkcjonalności.

Ponad 150 metod kodowania

Hackvertor obsługuje setki transformacji – od prostego Base64, przez haszowanie (MD5, SHA), kompresję, szyfrowanie, aż po bypass’y dla XSS czy generowanie losowych danych.

Działa w pełnej integracji z Repeaterem, Intruderem i Scannerem, co pozwala automatycznie kodować lub dekodować payloady w trakcie testów.

Przykład:
Chcemy zakodować nagłówek User-Agent w Base64 – wystarczy zaznaczyć fragment requesta, wybrać tag Hackvertora (@base64) i wysłać zapytanie. W logach Burpa zobaczymy, że faktycznie została użyta zakodowana wartość.

Repeater:

Intruder:

Wsparcie przy atakach na uwierzytelnianie Basic

Częstym przypadkiem w testach jest brute-force na Basic Authentication.
Standardowo login i hasło są łączone (login:hasło) i kodowane w Base64. Problem w Intruderze polega na tym, że login i hasło są kodowane osobno. Hackvertor rozwiązuje ten problem, bo pozwala zakodować w locie całą wartość login:hasło – niezależnie od tego, ile kombinacji payloadów testujemy.

przykład z użyciem tagu Hackvertor w Repater lub Intruder:

To ogromna oszczędność czasu i precyzyjne odwzorowanie realnych prób ataku.

Praca z XML i Base64

Coraz częściej aplikacje przesyłają pliki XML zakodowane w Base64.
Podczas testów XXE (XML External Entity) czy wstrzykiwania payloadów wystarczy użyć Hackvertora, aby całość żądania była wysyłana poprawnie zakodowana. Dzięki temu testy są realistyczne i działają zgodnie z oczekiwaniami backendu.

Zmienne i automatyzacja

Hackvertor pozwala na definiowanie zmiennych lokalnych i globalnych (set / get), które można wykorzystywać w wielu requestach. Dzięki temu np. wygenerowane hashe, tokeny czy dane testowe mogą być ponownie używane w różnych modułach Burpa bez konieczności kopiowania i wklejania.

Przykład z użyciem tagów szyfrowania:

Dodatkowo dostępna jest funkcja fake data – generowanie losowych numerów telefonów, adresów, loginów czy e-maili. Idealne, gdy aplikacja nie akceptuje powtarzających się wartości.

Rozszerzone funkcje – JWT, auto decode i skrypty

JWT – Hackvertor potrafi generować i analizować tokeny JWT, w tym dekodować i modyfikować ich zawartość.

Auto decode – narzędzie potrafi automatycznie rozpoznać i zdekodować podejrzane ciągi znaków, co sprawdza się np. w CTF-ach czy przy analizie nieznanych formatów.

Skrypty – możemy pisać proste one-linery w Pythonie czy innych językach, które wykonują się bezpośrednio w Burpie (przy włączonej opcji Allow Code Execution).

Podsumowanie

Hackvertor to nie tylko “lepszy decoder” – to kombajn do automatyzacji i manipulacji payloadami.
Największe zalety to:

  • Integracja z Intruderem, Repeaterem i Scannerem.
  • Obsługa setek metod kodowania i szyfrowania.
  • Możliwość pracy z Base64 w realnych scenariuszach (Basic Auth, XML, JWT).
  • Generowanie zmiennych i fake data, co przyspiesza testy.
  • Elastyczność – od prostych transformacji po własne skrypty.

Warto poświęcić chwilę na naukę tego dodatku – w codziennych testach potrafi zaoszczędzić mnóstwo czasu i znacznie zwiększyć skuteczność.

Wtyczki

Hackvertor AI w Burp Suite – jak zacząć?

AI zmienia wiele dziedzin, w tym bezpieczeństwo aplikacji internetowych. Integracja AI z narzędziami takimi jak Burp Suite daje nowe możliwości dla pentesterów a także bug hunterów. W tym wpisie pokażemy, jak używać AI w Burp Suite przy pomocy rozszerzenia Hackvertor.

Czym jest Hackvertor i jak włączyć funkcje AI?

Hackvertor to rozszerzenie Burp Suite, które ułatwia najróżniejsze kodowania i szyfrowania danych. Niedawno dodano do niego funkcje AI. Dzięki temu, praca z Burp Suite staje się jeszcze łatwiejsza. Zobaczmy, jak to działa.

Włączanie AI w Hackvertor

Zanim zaczniesz używać AI w Hackvertorze, musisz go skonfigurować. Ważne abys wcześniej miał włączone AI w Burp Suite.

  1. Otwórz zakładkę Extensions w Burp Suite.
  2. Zaznacz opcję Use AI.
  1. Wejdź w menu Hackvertora i wybierz Settings:
  1. Zaznacz wszystkie opcje związane z AI i włącz Allow code execution tags:
  1. Kliknij Update.

Teraz możesz korzystać z funkcji AI w Hackvertorze.

Jak stworzyć własny tag działający z AI?

Hackvertor obsługuje różne języki programowania, takie jak Python i JavaScript. Teraz, dzięki AI, możesz tworzyć tagi konwersji za pomocą prostych poleceń.

Przykład: Crackowanie hasła MD5

Załóżmy, że masz hash MD5 i chcesz go złamać. AI może pomóc, ponieważ zna wiele tekstów jawnych dla hashów MD5:

  1. W menu Hackvertora kliknij Create custom tag.
  2. W oknie, które się otworzy, wpisz nazwę tagu, np. „crack_md5„.
  3. W polu polecenia (prompt) wpisz „Crack this md5 hash„.
  1. Kliknij Create tag.

Teraz tag jest dostępny w sekcji Custom. Kliknij go, a Hackvertor wyśle zapytanie do AI. AI użyje polecenia i spróbuje złamać hash.

Tworzenie tagu z językiem programowania

Dzięki AI, możesz tworzyć własne tagi nawet jeśli nie umiesz programować:

  1. Otwórz okno tworzenia nowego tagu.
  2. Wpisz nazwę tagu, np. „reverse_me„.
  3. Wybierz JavaScript jako język.
  1. W polu kodu wpisz polecenie, np. „Reverse this text”:
  1. Kliknij Use AI to generate code.
  2. Hackvertor poprosi o dane wejściowe i oczekiwane wyjście. Wpisz np. „abc” jako wejście i „cba” jako wyjście.
  1. Kliknij OK.

Hackvertor automatycznie stworzy tag z gotowym kodem JavaScript na podstawie twoich danych. Dużą zaletą jest to, że po stworzeniu kodu, nie zużywasz już więcej tokenów AI.

Automatyczny opis tagu generowany przez AI

AI może automatycznie tworzyć opisy tagów, które tworzysz.

  1. Wejdź w menu Hackvertora i kliknij List custom tags.
  1. Wybierz tag, który stworzyłeś, np. „reverse_me” i kliknij Edit.

Zobaczysz, że AI stworzyło opis tego, co robi dany kod. Jest to bardzo przydatne, jeśli nie znasz danego języka programowania:

Automatyczne tworzenie tagów z zapytań w Repeaterze

To eksperymentalna funkcja, która automatycznie tworzy tagi na podstawie zapytań z zakładki Repeater.

  1. Przejdź do zakładki Repeater i przygotuj zapytanie z kodowaniem, które chcesz zakodować lub odkodować. Na przykład, hex escape string.
  1. Wyślij kilka zapytań (button: Send)
  2. Wejdź w zakładkę Extensions. Zobaczysz rozmowę między Hackvertorem a AI. AI automatycznie rozpozna kodowanie i stworzy kod w Pythonie.
  1. Te tagi są teraz dostępne jako tagi własne. Możesz je edytować i używać w Hackvertorze bez pisania kodu.

Przykład:

  1. Wejdź w menu Hackvertora i kliknij List custom tags.
  1. Wybierz tag stworzony przez AI i kliknij Edit.
  2. Możesz teraz edytować tag.
  3. Aby sprawdzić, czy działa, kliknij Test tag, wpisz „test” jako dane wejściowe. Zobaczysz, że stworzył hex escape string.

Czy AI zostanie w Burp Suite na stałe?

Burp Suite zawsze dawał możliwość rozszerzania jego możliwości. Dzięki temu, możesz dostosować go do swoich potrzeb. Teraz, z pomocą AI, te możliwości są jeszcze większe.

Integracja AI z Burp Suite to duży krok naprzód. Daje ona nowe możliwości i ułatwia pracę. Czy jesteś gotowy, aby spróbować? Pobierz Hackvertora i zacznij eksperymentować z AI w Burp Suite!

Wtyczki

JS Miner w Burp Suite – automatyczna analiza JavaScript w pentestach

Podczas testów bezpieczeństwa aplikacji webowych często potrzebujemy szybko odnaleźć ukryte sekrety, klucze API, hasła czy endpointy w kodzie JavaScript. Jednym z narzędzi, które znacząco ułatwia to zadanie, jest JSMiner – dodatek do Burp Suite Professional.
W tym wpisie pokażę, jak działa JSMiner, jak go skonfigurować i w jakich scenariuszach najlepiej się sprawdza.

Instalacja i wymagania

JSMiner można pobrać bezpośrednio z Burp App Store.

Uwaga: dodatek działa wyłącznie w wersji Professional Burp Suite.

Alternatywnie możliwe jest ręczne pobranie pliku .BAPP lub odwiedzenie repozytorium na GitHub, gdzie znajdziesz changelogi i ewentualne tutoriale.

Jak działa JSMiner?

Dodatek analizuje pliki – głównie JavaScript – w poszukiwaniu:

  • kluczy API i tokenów,
  • haseł i sekretów,
  • endpointów API,
  • subdomen,
  • oraz plików source map (.map), które często ujawniają więcej niż skompilowany JS.

JSMiner integruje się z mechanizmem skanowania w Burp Suite:

  • Podczas aktywnych skanów – wysyła dodatkowe zapytania do serwera w poszukiwaniu potencjalnie interesujących plików.
  • Podczas pasywnych skanów – analizuje odpowiedzi serwera i wychwytuje w nich potencjalne dane wrażliwe.

Tryby pracy i konfiguracja

Po zainstalowaniu znajdziesz JSMiner w zakładce Extensions.
Możliwe tryby działania to m.in.:

  • Auto Mine (Check Everything) – uruchamia wszystkie dostępne testy (zarówno pasywne, jak i aktywne).
  • Passive Scan – analizuje istniejące odpowiedzi w projekcie bez wysyłania dodatkowych żądań.
  • Active Checks – np. wyszukiwanie plików .map, które mogą ujawniać dodatkowe informacje.

Wyniki skanowania

Rezultaty można przeglądać w kilku miejscach:

  1. Site Map – klikając na konkretną stronę zobaczymy, co JSMiner wykrył.
  1. Zakładka Advisory – zawiera szczegóły potencjalnych problemów, choć część z nich to false positives (np. słowo „password” w kodzie, które nie jest realnym hasłem).
  1. Zakładka Extensions → Output – wyświetla dodatkowe informacje, m.in. listę plików przetwarzanych w trakcie skanowania.

Przykłady zastosowania

JSMiner może być szczególnie przydatny w scenariuszach takich jak:

  • wykrywanie nowych endpointów API dodanych bez aktualizacji dokumentacji,
  • wyszukiwanie kluczy API i sekretów pozostawionych w kodzie,
  • identyfikacja plików .map pozwalających na analizę źródeł frontendu.

Dzięki niemu można szybko wyłapać zmiany w kodzie – np. na programach Bug Bounty, gdzie drobne aktualizacje JS mogą ujawniać nowe możliwości ataku.

Podsumowanie

JSMiner to potężny, a jednocześnie prosty w obsłudze dodatek do Burp Suite.
Jego największe zalety to:

  • integracja z mechanizmem skanowania,
  • wykrywanie wrażliwych danych w JS,
  • możliwość działania zarówno w trybie pasywnym, jak i aktywnym.

Pamiętaj jednak, aby zawsze analizować wyniki pod kątem false positives i stosować aktywne skany wyłącznie za zgodą właściciela testowanej aplikacji.

Instalacja i konfiguracja

Instalacja Burp Suite i pobranie klucza na dni 30 dla wersji Professional

Witajcie na moim blogu o cyberbezpieczeństwie! Dzisiaj pokażę Wam, jak skonfigurować środowisko Burp Suite, narzędzie niezbędne każdemu, kto zajmuje się testowaniem bezpieczeństwa aplikacji internetowych.

Burp Suite dostępny jest w trzech wersjach: Community, Professional oraz Enterprise.

Pierwsza z nich, czyli Community, jest bezpłatna i domyślnie zainstalowana w dystrybucji Kali Linux, co sprawia, że jest świetnym punktem startowym dla początkujących testerów.

Krok 1: Pobieranie Burp Suite Community

Aby zacząć, odwiedź oficjalną stronę producenta

https://portswigger.net/burp/releases/professional-community-2024-7-5?requestededition=community&requestedplatform=

i pobierz bezpłatną edycję Community. Jest to doskonały wybór dla tych, którzy dopiero rozpoczynają swoją przygodę z testowaniem bezpieczeństwa aplikacji.

Krok 2: Instalacja

Po pobraniu instalatora, wystarczy go uruchomić i postępować zgodnie z instrukcjami wyświetlanymi na ekranie. Proces instalacji jest szybki i intuicyjny – po kilku kliknięciach Burp Suite zostanie uruchomiony na Twoim urządzeniu.

Krok 3: Uruchamianie projektu tymczasowego

Po zakończeniu instalacji otwórz Burp Suite jako projekt tymczasowy. Wybierz opcję „Use Burp Defaults” i kliknij „Start Burp”. Tym samym rozpoczniesz pracę z Burp Suite, który uruchomi się i przekieruje Cię do zakładki Dashboard.

Krok 4: Konfiguracja proxy

Ostatnim krokiem jest ustawienie proxy, aby przechwytywać cały ruch HTTP. Przejdź do zakładki „Proxy”, a następnie „Intercept”. Uruchom przeglądarkę skonfigurowaną do korzystania z proxy na porcie 8080, klikając przycisk „Open Browser”. Dzięki temu każde żądanie HTTP będzie przechwytywane przez Burp Suite, co umożliwi Ci testowanie i analizowanie bezpieczeństwa aplikacji w realnym czasie.

Burp Pro na 30 dni za darmo!

Warto wspomnieć o dodatkowej możliwości, którą oferuje strona PortSwigger dla tych, którzy chcieliby przetestować bardziej zaawansowane możliwości Burp Suite. Jeśli edycja Community wydaje się być zbyt ograniczona dla Waszych potrzeb, możecie rozważyć wypróbowanie wersji Professional.

Burp Suite Professional, płatna wersja tego narzędzia, jest dostępna w cenie około 399 dolarów rocznie, ale istnieje możliwość skorzystania z bezpłatnej, 30-dniowej wersji próbnej. Aby uzyskać dostęp do tej opcji, wystarczy odwiedzić strone:

https://portswigger.net/burp/pro/trial

i wnioskować o klucz trial. Proces jest prosty: należy tylko wypełnić krótki formularz, podając niezbędne informacje.

Wersja Professional oferuje znacznie więcej funkcji w porównaniu do wersji Community. Użytkownicy zyskują dostęp do zaawansowanych narzędzi do testowania aplikacji, automatyzacji zadań, a także bardziej rozbudowane opcje analizy ruchu sieciowego. Jest to idealne rozwiązanie dla profesjonalistów, którzy potrzebują głębszego i bardziej szczegółowego podejścia do testowania bezpieczeństwa.

Dzięki możliwości przetestowania wersji Professional bez żadnych kosztów, możecie sami zdecydować, czy zaawansowane funkcjonalności są Wam potrzebne i czy warto zainwestować w roczną subskrypcję. To świetna okazja, aby na własne oczy zobaczyć, jak potężne narzędzie może pomóc w codziennej pracy związanej z cyberbezpieczeństwem.