企业专业的

Burp合作者

• 最近更新时间：2022年4月6日

• 阅读时间：7分钟

本节包含有关什么是Burp合作者，，，，Burp合作者的工作方式，，，，Burp合作者处理的数据安全性， 和使用Burp合作者的选项。

什么是Burp合作者？

BURP合作者是Burp Suite用来帮助发现多种漏洞的网络服务。例如：

• 可以使用有效载荷检测到一些基于注射的漏洞，该有效载荷成功进行注射时与外部系统的交互作用。例如，有些盲目注射不能使漏洞在应用程序响应的内容或时机上造成任何影响，但是可以使用有效载荷检测到它们在注入SQL查询时引起外部交互的有效载荷。
• 可以通过向目标应用程序提交针对这些服务的有效载荷来检测某些特定于服务的漏洞，并与该服务的协作实例分析所得交互的详细信息。例如，可以通过这种方式检测到邮件标头注入。
• 当可以诱导应用程序从外部系统检索内容并以某种方式处理内容时，就会出现一些漏洞。例如，该应用程序可能会检索提供的URL的内容，并将其包含在其自己的响应中。

当使用BURP合作者时，BURP将有效载荷发送到正在审核的应用程序中，该应用程序旨在在某些漏洞或行为发生时与协作服务器交互。Burp定期对合作服务器进行调查，以确定其任何有效载荷是否触发了交互：

Burp合作者使用打扫扫描仪和手动打bur合作者客户，也可以由Burp扩展器API。

Burp合作者的工作方式

BURP合作者作为单个服务器运行，可提供各种网络服务的自定义实现：

• 它使用自己的专用域名，并将服务器注册为该域的权威DNS服务器。
• 它提供了DNS服务，该服务回答了其注册域（或子域）的任何查找，并带有其自己的IP地址。
• 它提供了HTTP/HTTPS服务，并为其域名使用有效的，CA签名的通配符TLS证书。
• 它提供SMTP/SMTPS服务。

以下是可以通过BURP合作者检测到的问题的一些示例。

检测外部服务互动

典型的外部服务交互问题可以检测到以下内容：

• Burp将有效载荷发送到包含使用协作者域随机子域的URL的应用程序，例如：param = http：//f294gchg2la...r9gf.burpcollaborator.net/
• 由于其编程行为（打算或其他方式），该应用程序获取了URL的内容。为此，它将首先在随机子域上执行DNS查找，然后执行HTTP请求。
• DNS查找和HTTP请求由协作服务器接收。两种交互都包含Burp放入协作子域中的随机数据。
• Burp对合作服务器进行了调查，并问：“您是否收到了我的有效负载的任何交互？”，合作者返回交互详细信息。
• Burp向BURP用户报告了外部服务交互，包括协作服务器捕获的完整交互消息。

检测带外资源负载

当可以诱导应用程序从任意外部来源加载内容并将其包含在其自己的响应中时，就会发生频带资源负载。BURP Suite可以通过诱导合作服务器在其对外部交互的响应中返回特定数据来检测此问题，并分析应用程序的相同数据的应用程序内响应：

检测盲人SQL注入

BURP可以提交基于注射的有效载荷，旨在在注射成功时触发外部互动，从而能够检测到完全盲注射漏洞。下面的示例使用特定于Oracle特定的API来触发交互，当我们成功地注入SQL语句：

检测盲人跨站脚本

合作者服务器可以将相关带内有效载荷提交给目标的带有异步发生的递延交互通知Burp。这可以检测到各种存储的漏洞，例如二阶SQL注入和盲XS。在下面的示例中，Burp Suite提交了存储的XSS有效载荷旨在触发合作者交互，如果它曾经呈现给用户。后来，管理员用户查看有效负载，其浏览器执行交互。后来，Burp Suite对合作服务器进行了调查，收到交互的详细信息，并报告了存储的XSS脆弱性：

合作者数据的安全性

用户可能对协作服务器处理的数据安全性有正当的担忧，并且该功能的设计非常强调该数据的安全性。

合作服务器服务器存储什么数据？

在大多数情况下，当发现漏洞时，协作者服务器将无法收到足够的信息来识别漏洞。它没有看到从BURP发送到目标申请的HTTP请求。在典型的情况下，它将记录从某个地方收到的交互，包括由Burp生成的随机标识符。有时，合作者服务器会收到一些特定于应用程序的数据：例如，通过用户注册表格生成的电子邮件的内容。

合作者数据的检索如何控制？

合作者功能的设计使得只有生成给定有效载荷的BURP实例才能检索该有效负载产生的任何交互的详细信息。该要求的实施如下：

• BURP的每个实例都会生成一个安全的随机秘密。
• BURP发送给目标应用程序的每个与合作者相关的有效载荷都包含一个随机标识符，该标识符是从秘密的单向哈希（加密检查）中得出的。
• 与合作者的任何结果交互都将在传输数据中包括此标识符（例如，在DNS查找的子域中或HTTP请求的主机标头）。
• 该秘密仅由Burp发送给合作服务器，以进行轮询以获取所得交互的详细信息。这是使用HTTPS完成的，除非在Burp的选项中覆盖。
• 当合作者服务器收到轮询请求时，它会执行提交秘密的单向哈希，并检索任何录制的交互的详细信息，其中包含从该哈希派生的标识符。
• 因此，只有生成秘密的BURP实例才能检索其有效载荷触发的任何交互的详细信息。

除此机制外，还在协作服务器中实施了以下预防措施，以防止未经授权访问其数据：

• 相互作用的详细信息仅存储在短暂的过程内存中。
• 没有任何持久形式记录任何类型的数据：例如，数据库或日志文件。
• 互动的详细信息通常会在BURP发生后不久通过Burp检索，然后由服务器丢弃。
• 固定间隔后，丢弃了尚未被Burp检索的旧互动的细节。
• 没有用于查看交互细节的管理功能，只有已经描述的检索机制。
• 合作者服务器不会通过设计接收任何可用于识别任何单独的BURP用户的数据（例如帐户名称或许可证密钥）。

基于合作者的电子邮件地址

如果您使用的是公共合作服务器，我们不建议使用基于协作的电子邮件地址注册网站。beplay体育能用吗

如果合作者服务器收到一个包含来自两个客户端的标识符的单个消息，则此消息可供两个客户端。这意味着，如果您使用公共合作服务器上的电子邮件地址在网站上注册，并且该网站beplay体育能用吗将攻击者控制的数据放在给您的电子邮件中，则攻击者可能能够通过自己的客户端检索该电子邮件。

请注意，您可以通过使用安全的轮询接口使用私人协作服务器来完全防止这种情况。

使用Burp合作者的选项

Burp用户可以在以下三个使用BURP合作者的选项之间进行选择：

• 公共合作者服务器- 这是PortSwigger提供的服务器，在所有使用它的Bubeplay官网可以赌rp用户之间共享。如果公共合作者服务器遭受任何服务的停电或退化，则BURP中与协作者相关功能的功效可能会受到损害。因此，PortSwigger对该服beplay官网可以赌务器的可用性或性能不保证。
• 私人合作者服务器- 任何有Burp Suite专业人士许可证可以运行自己的协作服务器实例。为了完全有效地执行此操作，您将需要主机服务器，专用域名和有效的CA签名的通配符TLS证书。没有合适的域名或TLS证书的私人合作服务器将能够支持BURP中与合作者相关的功能的一些但不是全部。您可以在网络层上保护私有协作者实例：您可以配置不同的网络接口以接收交互并回答轮询请求，并且可以在目标和测试人员的位置应用于您想要的任何IP限制。使用私人合作服务器的选项可能会吸引渗透测试公司和内部安全团队。它还可以使各个测试人员在没有Internet访问的私人关闭网络上测试时部署合作者实例。查看文档部署私人合作服务器更多细节。
• 没有合作服务器- 您可以配置Burp不要使用任何合作服务器。使用此选项，BURP中没有与合作者相关的功能。

在Burp Suite Professional中，您可以在BURP合作者服务器选项。