Subscribe
Pentest

Pentest krok za krokom: Ako otestovať web aplikáciu cez Caido alebo Burp Suite

Chceš otestovať bezpečnosť svojho webu? Tento návod ti krok za krokom ukáže, ako na to pomocou Caido alebo Burp Suite.

Michal Forbak

2 min read
Pentest krok za krokom: Ako otestovať web aplikáciu cez Caido alebo Burp Suite

Úvod

Chceš si vyskúšať, ako funguje penetračné testovanie webovej aplikácie? Tento návod ti krok za krokom ukáže, ako na to pomocou Burp Suite alebo Caido – moderných nástrojov pre testovanie zraniteľností typu XSS, IDOR, CSRF a iných.

Čo budeš potrebovať

  • Základné znalosti HTTP požiadaviek (GET, POST, cookies, headers)
  • Nainštalovaný prehliadač (ideálne Firefox)
  • Burp Suite Community alebo Caido (free)
  • Testovaciu aplikáciu (napr. PortSwigger Web Academy, WebGoat alebo jednoduchý web od teba)

Krok 1: Priprav si prostredie

  1. Stiahni a nainštaluj Burp Suite z portswigger.net/burp alebo Caido z caido.io
  2. Spusti aplikáciu a nastav proxy na localhost:8080 (štandardne)
  3. Vo Firefoxe (alebo Brave) nastav manuálnu proxy:
  • Menu > Nastavenia > Sieť > Nastaviť proxy
  • HTTP proxy: 127.0.0.1, port: 8080
  1. Navštív testovaciu web aplikáciu

Krok 2: Zachytávanie požiadaviek (intercept)

  • V Burpe: otvor "Proxy" > zapni "Intercept"
  • V Caido: prehliadaj web, požiadavky sa logujú automaticky
  • Vyhľadaj požiadavky typu POST alebo GET, kde sa posielajú údaje od používateľa (napr. komentáre, login...)

Krok 3: Hľadanie XSS (Cross-site scripting)

  1. Nájdi miesto, kde aplikácia zobrazuje tvoje vstupy (napr. komentár)
  2. V requeste zmeň hodnotu napr. na <script>alert(1)</script>
  3. Odošli požiadavku a sleduj, či sa alert zobrazí na stránke
  4. Ak áno – aplikácia nefiltruje vstupy = potenciálne XSS

Krok 4: Hľadanie IDOR (Insecure Direct Object Reference)

  1. Nájdi URL alebo parametre ako /profile?id=123 alebo user_id=123 v requeste
  2. Zmeň hodnotu ID na inú (napr. 124, 1, 2…)
  3. Sleduj, či sa ti zobrazí cudzí profil alebo dáta iného používateľa
  4. Ak áno – chyba prístupovej kontroly

Krok 5: Automatické testy (scanner)

  • V Burp Community môžeš použiť "Logger" a ručne analyzovať odpovede
  • V Caido klikni na požiadavku a vyber „Scan“ – automaticky prebehne XSS/SQLi/IDOR kontrola

Bonus: API testovanie

  • Pošli požiadavku cez Postman (alebo si ju načítaj z Caido)
  • Skús upraviť JSON payloady – injekcie do parametrov
  • Vyskúšaj napr. hodnoty ako {"role": "admin"} alebo ' OR 1=1 --

Bezpečnosť a etika

Testuj iba svoje aplikácie alebo oficiálne cvičiská. Neoprávnený pentest na cudzích systémoch je nezákonný. Vždy dodržuj etický hacking!

Záver

Týmto si si vyskúšal základné techniky pentestovania webu. Nástroje ako Burp Suite či Caido ti otvárajú cestu k hlbšej analýze a aj automatizácii.

V ďalšom článku si ukážeme testovanie CSRF zraniteľnosti a nastavenie notifikácií/automatického reportingu.