HUNT - это расширение Burp Suite для:

1. Определения общих параметров, уязвимых для определенных классов уязвимостей.
   
2. Организация методик тестирования внутри Burp Suite.

Сканер HUNT (hunt_scanner.py)



Определив эти параметры, расширение предупреждает о них, чтобы тестер мог проверить их вручную. Также предоставляет проблемы для тщательного ручного тестирования этих классов уязвимостей.

Методология HUNT (hunt_methodology.py)



Это расширение позволяет тестировщикам отправлять запросы и полученые ответы на вкладку Burp, которая называется «Методология HUNT». Эта вкладка содержит древо слева, которое является визуальным представлением вашей методики тестирования. Здесь тестировщики могут организовывать проведение ручного тестирования или отметить выполнение определенных методологических шагов.

Начало работы с HUNT

1. Сначала убедитесь, что у вас установлен последний автономный Jython JAR в разделе “Extender” -> “Options”.
   
2. Добавьте HUNT через “Extender” -> “Extensions”.
   
3. HUNT Scanner начнет работать с трафиком, который проходит через прокси BurpSuite.

Важно отметить, что HUNT Scanner использует API пассивного сканирования. Вот условия, при которых выполняются пассивные проверки:

• Первый запрос активного сканирования
  
• Запросы прокси
  
• Каждый раз, когда в контекстном меню выбирается «Пассивное сканирование»

Пассивные сканы не выполняются:

• На каждый активный ответ сканирования
  
• На повторитель откликов
  
• На ответы Intruder
  
• На ответы Sequencer
  
• На Spider ответы

Вместо этого стандартным рабочим процессом будет установка области действия, запуск Burp Spider на вкладке «Цель», затем щелкните правой кнопкой мыши «Пассивно сканировать выбранные элементы».

Классы уязвимостей сканера HUNT

• SQL-инъекция
  
• Локальное/удаленное включение файлов и обход пути
  
• Подделка запросов на стороне сервера и открытое перенаправление
  
• Внедрение команд ОС
  
• Небезопасная прямая ссылка на объект
  
• Внедрение шаблона на стороне сервера
  
• Параметры логики и отладки

Авторы

• JP Виллануева
  
• Джейсон Хаддикс
  
• Райан Блэк
  
• Фатих Эгбатан
  
• Вишал Шах

Источник: bugcrowd/HUNT