Empezando con - Burp Suite -

julio 20, 2018 , ,

Luego de un tiempo sin publicar hoy se me ocurriĆ³ hablar de una herramienta la cual reciĆ©n empiezo a usar y la cual es muy util y completa. BurpSuite es una herramienta la cual su propĆ³sito es el anĆ”lisis de seguridad en aplicaciones web. Esta cuenta con varios mĆ³dulos  o herramientas integradas por asĆ­ decirlo, los cuales son

  • Decoder
  • Intruder
  • Spider
  • Repeater
  • Target
  • Comparer
  • Sequencer
Bien pasamos a configurar nuestra opciĆ³n de proxy en BurpSuite. Esto nos permitirĆ” interceptar todo lo que sucede en nuestro navegador.

Primero abrimos nuestro navegador de firefox y vamos al Menu/Preferences/Advanced/ y en las pestaƱas de la parte superior seleccionamos network, una vez ahi elegimos la primera opciĆ³n que es la de Connection y le damos en settings. Seleccionamos manual proxy configurations y ponemos lo siguiente.


Luego abrimos una pestaƱa en nuestro navegador y pondremos lo siguiente http://burp/ lo cual nos permitirĆ” descargar un certificado. Una vez lo tengamos descargado volvemos al menu del navegador y vamos a Advance/Certificates/ y elegimos la opciĆ³n de View Certificates desde ahi importamos el que descargamos.


Pasamos a abrir la herramienta para comenzar el escaneo. Lo que haremos sera indicar nuestro target (En este caso lo estoy haciendo todo en un ambiente local) el cual es un server apache en el cual tengo un proyecto de Django corriendo.


Vamos a proxy y en la opciĆ³n de intercept la pondremos en ON. Para poder capturar el trafico de nuestro navegador.



Una vez habilitemos esta opciĆ³n comenzara a interceptar las peticiones antes de que estas sean enviadas al servidor.


En los siguientes campos podemos ver la siguiente informaciĆ³n.

Host: url a la cual se conectara.

User Agent: browser que se esta utilizando.

Accept: tipo de formato que se esta usando.

Accept-encoding: ComprensiĆ³n de la respuesta

Esto es solo lo bƔsico de esta herramienta ya que podemos hacer muchas mas cosas con ellas como editar peticiones, realizar ataques de fuerza bruta y entre otras muchas cosas. En post mas adelante estarƩ haciendo uso de esta herramienta para ponerla aprueba en un CTF y asƭ poder ver lo util que esta es. Espero que les haya gustado esta primera parte con esta herramienta, no olviden compartir y suscribirse a nuestro canal de Youtube.



1 comentario:

Suscribirse a: Comentarios de la entrada ( Atom )