Skip to content

README.de.md

Latest commit

 

History

History
63 lines (44 loc) · 3.28 KB

README.de.md

File metadata and controls

63 lines (44 loc) · 3.28 KB

Burp Suite Extension „CODIBurp“

Beschreibung

Eine Inhaltserkennungs-Erweiterung für Burp Suite – das automatisierte Auffinden verborgener Verzeichnisse und Dateien auf Webservern zur Identifizierung potenzieller Sicherheitslücken.

Installation/Einrichtung

  1. Burp Suite Community Edition installieren:
    Download Burp Suite Community Edition - PortSwigger

  2. Jython standalone jar-Datei herunterladen:
    Downloads | Jython
    (hier unter Jython Standalone); es ist die Datei mit dem Format „jython-standalone-X.X.X.jar“.

  3. Burp Suite starten:
    Screenshot1
    Screenshot2

  4. Einstellungen in Burp Suite Settings unter Extensions vornehmen:
    Screenshot3
    Hier in die entsprechenden Felder die Jython Standalone JAR-Datei und ggf. den Pfad für die Extension hinterlegen.

  5. CODIBurp.py-Datei aus GitHub-Repository herunterladen:
    CODIBurp/CODIBurp.py at main · lockenkoepflein/CODIBurp · GitHub
    Datei in dem Verzeichnis speichern, das im Feld „Folder for loading modules“ angegeben wurde.

  6. In Burp Suite unter „Extensions“ den Button „Add“ betätigen:
    Screenshot4

    • Extension type: Python wählen.
    • Als Extension file die heruntergeladene .py-Datei auswählen.
    • Dann den Button „Next“ betätigen.
      Screenshot5

    Die Extension wird nun in die Burp Suite geladen, und die GUI des Tools sollte sich aufbauen.
    Falls Probleme beim Laden bestehen, werden diese unter „Errors“ ausgegeben:
    Screenshot6

Verwendung

GUI mit Kurzbeschreibung:
Screenshot7

Nach beispielhafter Konfiguration und Starten des Bruteforce-Prozesses über den „Start“-Button sieht man den aktuellen Fortschritt auf dem Fortschrittsbalken:
Screenshot8

Für den Bruteforce-Prozess können folgende Listen (aber auch andere) verwendet werden:

Zu beachten ist, dass die URLs auf eine Liste verweisen sollen, in der sich in jeder neuen Zeile ein Datei- bzw. Verzeichnisname befindet.

Ist der Bruteforce-Prozess anhand der konfigurierten Listen abgeschlossen, wird der Button „Save Results“ aktiv und es erscheint unter „Progress“ folgende Meldung:
Screenshot9

Beim Wechsel in den Reiter „Results“ werden die gefundenen Dateien und Verzeichnisse aufgelistet (nur Ergebnisse mit den gewünschten Statuscodes werden angezeigt):
Screenshot10

Wird der Button „Save Results“ betätigt, wird eine .txt-Datei im Verzeichnis angelegt, in dem sich die .py-Datei befindet. Diese enthält die gefundenen Verzeichnisse und Dateien:
Screenshot11

Lizenz

Das Projekt ist unter der MIT-Lizenz verfügbar, siehe LICENSE-Datei.