Empezando con - Burp Suite -


Luego de un tiempo sin publicar hoy se me ocurrió hablar de una herramienta la cual recién empiezo a usar y la cual es muy util y completa. BurpSuite es una herramienta la cual su propósito es el análisis de seguridad en aplicaciones web. Esta cuenta con varios módulos  o herramientas integradas por así decirlo, los cuales son

  • Decoder
  • Intruder
  • Spider
  • Repeater
  • Target
  • Comparer
  • Sequencer
Bien pasamos a configurar nuestra opción de proxy en BurpSuite. Esto nos permitirá interceptar todo lo que sucede en nuestro navegador.

Primero abrimos nuestro navegador de firefox y vamos al Menu/Preferences/Advanced/ y en las pestañas de la parte superior seleccionamos network, una vez ahi elegimos la primera opción que es la de Connection y le damos en settings. Seleccionamos manual proxy configurations y ponemos lo siguiente.


Luego abrimos una pestaña en nuestro navegador y pondremos lo siguiente http://burp/ lo cual nos permitirá descargar un certificado. Una vez lo tengamos descargado volvemos al menu del navegador y vamos a Advance/Certificates/ y elegimos la opción de View Certificates desde ahi importamos el que descargamos.


Pasamos a abrir la herramienta para comenzar el escaneo. Lo que haremos sera indicar nuestro target (En este caso lo estoy haciendo todo en un ambiente local) el cual es un server apache en el cual tengo un proyecto de Django corriendo.


Vamos a proxy y en la opción de intercept la pondremos en ON. Para poder capturar el trafico de nuestro navegador.



Una vez habilitemos esta opción comenzara a interceptar las peticiones antes de que estas sean enviadas al servidor.


En los siguientes campos podemos ver la siguiente información.

Host: url a la cual se conectara.

User Agent: browser que se esta utilizando.

Accept: tipo de formato que se esta usando.

Accept-encoding: Comprensión de la respuesta

Esto es solo lo básico de esta herramienta ya que podemos hacer muchas mas cosas con ellas como editar peticiones, realizar ataques de fuerza bruta y entre otras muchas cosas. En post mas adelante estaré haciendo uso de esta herramienta para ponerla aprueba en un CTF y así poder ver lo util que esta es. Espero que les haya gustado esta primera parte con esta herramienta, no olviden compartir y suscribirse a nuestro canal de Youtube.



1 comentario:

  1. This was an excellent blog I learn something from these blog about Ethical Hacking Online Training . Try yourself once.

    ResponderEliminar