Archiwa tagu: dodatki

Wtyczki

Hackvertor w Burp Suite – praktyczne zastosowania w testach bezpieczeństwa

Burp Suite to nieodłączny element pracy pentestera. Oprócz wbudowanych modułów, takich jak Repeater, Intruder czy Scanner, ogromnym wsparciem są dodatki z Burp App Store. Jednym z najciekawszych i najczęściej wykorzystywanych jest Hackvertor – narzędzie do kodowania, dekodowania i automatyzacji pracy z payloadami.

W tym wpisie pokażę, dlaczego Hackvertor jest tak przydatny i jak można go wykorzystać w codziennych testach bezpieczeństwa.

Instalacja Hackvertora

Dodatek można zainstalować bezpośrednio z Burp App Store – działa zarówno w wersji Pro, jak i Community (choć w tej drugiej z ograniczeniami, np. w Intruderze czy bez dostępu do skanera).

Możliwa jest także instalacja manualna – wystarczy pobrać plik BAPP z repozytorium GitHub i zaimportować go w Burp Suite.

Dzięki temu mamy dostęp do najnowszych aktualizacji i nowych funkcjonalności.

Ponad 150 metod kodowania

Hackvertor obsługuje setki transformacji – od prostego Base64, przez haszowanie (MD5, SHA), kompresję, szyfrowanie, aż po bypass’y dla XSS czy generowanie losowych danych.

Działa w pełnej integracji z Repeaterem, Intruderem i Scannerem, co pozwala automatycznie kodować lub dekodować payloady w trakcie testów.

Przykład:
Chcemy zakodować nagłówek User-Agent w Base64 – wystarczy zaznaczyć fragment requesta, wybrać tag Hackvertora (@base64) i wysłać zapytanie. W logach Burpa zobaczymy, że faktycznie została użyta zakodowana wartość.

Repeater:

Intruder:

Wsparcie przy atakach na uwierzytelnianie Basic

Częstym przypadkiem w testach jest brute-force na Basic Authentication.
Standardowo login i hasło są łączone (login:hasło) i kodowane w Base64. Problem w Intruderze polega na tym, że login i hasło są kodowane osobno. Hackvertor rozwiązuje ten problem, bo pozwala zakodować w locie całą wartość login:hasło – niezależnie od tego, ile kombinacji payloadów testujemy.

przykład z użyciem tagu Hackvertor w Repater lub Intruder:

To ogromna oszczędność czasu i precyzyjne odwzorowanie realnych prób ataku.

Praca z XML i Base64

Coraz częściej aplikacje przesyłają pliki XML zakodowane w Base64.
Podczas testów XXE (XML External Entity) czy wstrzykiwania payloadów wystarczy użyć Hackvertora, aby całość żądania była wysyłana poprawnie zakodowana. Dzięki temu testy są realistyczne i działają zgodnie z oczekiwaniami backendu.

Zmienne i automatyzacja

Hackvertor pozwala na definiowanie zmiennych lokalnych i globalnych (set / get), które można wykorzystywać w wielu requestach. Dzięki temu np. wygenerowane hashe, tokeny czy dane testowe mogą być ponownie używane w różnych modułach Burpa bez konieczności kopiowania i wklejania.

Przykład z użyciem tagów szyfrowania:

Dodatkowo dostępna jest funkcja fake data – generowanie losowych numerów telefonów, adresów, loginów czy e-maili. Idealne, gdy aplikacja nie akceptuje powtarzających się wartości.

Rozszerzone funkcje – JWT, auto decode i skrypty

JWT – Hackvertor potrafi generować i analizować tokeny JWT, w tym dekodować i modyfikować ich zawartość.

Auto decode – narzędzie potrafi automatycznie rozpoznać i zdekodować podejrzane ciągi znaków, co sprawdza się np. w CTF-ach czy przy analizie nieznanych formatów.

Skrypty – możemy pisać proste one-linery w Pythonie czy innych językach, które wykonują się bezpośrednio w Burpie (przy włączonej opcji Allow Code Execution).

Podsumowanie

Hackvertor to nie tylko “lepszy decoder” – to kombajn do automatyzacji i manipulacji payloadami.
Największe zalety to:

  • Integracja z Intruderem, Repeaterem i Scannerem.
  • Obsługa setek metod kodowania i szyfrowania.
  • Możliwość pracy z Base64 w realnych scenariuszach (Basic Auth, XML, JWT).
  • Generowanie zmiennych i fake data, co przyspiesza testy.
  • Elastyczność – od prostych transformacji po własne skrypty.

Warto poświęcić chwilę na naukę tego dodatku – w codziennych testach potrafi zaoszczędzić mnóstwo czasu i znacznie zwiększyć skuteczność.

Wtyczki

JS Miner w Burp Suite – automatyczna analiza JavaScript w pentestach

Podczas testów bezpieczeństwa aplikacji webowych często potrzebujemy szybko odnaleźć ukryte sekrety, klucze API, hasła czy endpointy w kodzie JavaScript. Jednym z narzędzi, które znacząco ułatwia to zadanie, jest JSMiner – dodatek do Burp Suite Professional.
W tym wpisie pokażę, jak działa JSMiner, jak go skonfigurować i w jakich scenariuszach najlepiej się sprawdza.

Instalacja i wymagania

JSMiner można pobrać bezpośrednio z Burp App Store.

Uwaga: dodatek działa wyłącznie w wersji Professional Burp Suite.

Alternatywnie możliwe jest ręczne pobranie pliku .BAPP lub odwiedzenie repozytorium na GitHub, gdzie znajdziesz changelogi i ewentualne tutoriale.

Jak działa JSMiner?

Dodatek analizuje pliki – głównie JavaScript – w poszukiwaniu:

  • kluczy API i tokenów,
  • haseł i sekretów,
  • endpointów API,
  • subdomen,
  • oraz plików source map (.map), które często ujawniają więcej niż skompilowany JS.

JSMiner integruje się z mechanizmem skanowania w Burp Suite:

  • Podczas aktywnych skanów – wysyła dodatkowe zapytania do serwera w poszukiwaniu potencjalnie interesujących plików.
  • Podczas pasywnych skanów – analizuje odpowiedzi serwera i wychwytuje w nich potencjalne dane wrażliwe.

Tryby pracy i konfiguracja

Po zainstalowaniu znajdziesz JSMiner w zakładce Extensions.
Możliwe tryby działania to m.in.:

  • Auto Mine (Check Everything) – uruchamia wszystkie dostępne testy (zarówno pasywne, jak i aktywne).
  • Passive Scan – analizuje istniejące odpowiedzi w projekcie bez wysyłania dodatkowych żądań.
  • Active Checks – np. wyszukiwanie plików .map, które mogą ujawniać dodatkowe informacje.

Wyniki skanowania

Rezultaty można przeglądać w kilku miejscach:

  1. Site Map – klikając na konkretną stronę zobaczymy, co JSMiner wykrył.
  1. Zakładka Advisory – zawiera szczegóły potencjalnych problemów, choć część z nich to false positives (np. słowo „password” w kodzie, które nie jest realnym hasłem).
  1. Zakładka Extensions → Output – wyświetla dodatkowe informacje, m.in. listę plików przetwarzanych w trakcie skanowania.

Przykłady zastosowania

JSMiner może być szczególnie przydatny w scenariuszach takich jak:

  • wykrywanie nowych endpointów API dodanych bez aktualizacji dokumentacji,
  • wyszukiwanie kluczy API i sekretów pozostawionych w kodzie,
  • identyfikacja plików .map pozwalających na analizę źródeł frontendu.

Dzięki niemu można szybko wyłapać zmiany w kodzie – np. na programach Bug Bounty, gdzie drobne aktualizacje JS mogą ujawniać nowe możliwości ataku.

Podsumowanie

JSMiner to potężny, a jednocześnie prosty w obsłudze dodatek do Burp Suite.
Jego największe zalety to:

  • integracja z mechanizmem skanowania,
  • wykrywanie wrażliwych danych w JS,
  • możliwość działania zarówno w trybie pasywnym, jak i aktywnym.

Pamiętaj jednak, aby zawsze analizować wyniki pod kątem false positives i stosować aktywne skany wyłącznie za zgodą właściciela testowanej aplikacji.