Tutorial de Burp Suite

Burp Suite es una variedad de dispositivos que se utilizan para realizar pruebas de penetración e inspección de seguridad. Este tutorial se centra principalmente en la versión gratuita. Burp Suite puede actuar como un proxy de interrupción y también captura el tráfico entre un navegador de Internet y un servidor web. Otras características de Burp Suite incluyen un escáner, una araña con reconocimiento de aplicaciones, un intruso, un repetidor, un secuenciador, un comparador, un extensor y un decodificador.

Características

A continuación se muestra una descripción de las características de Burp Suite:

• Escáner: Escaneos en busca de vulnerabilidades.
• Araña consciente de la aplicación: Se utiliza para deslizar una determinada extensión de páginas.
• Intruso: Se utiliza para realizar asaltos y fuerzas brutas en las páginas de forma adaptable.
• Reloj de repetición: Se utiliza para controlar y desviar todas las solicitudes.
• Secuenciador: Se utiliza para probar tokens de sesión.
• Extensor: Le permite componer fácilmente sus complementos para obtener una funcionalidad personalizada
• Comparador y decodificador: Ambos se utilizan con fines diversos.

Araña eructa

Burp Suite también tiene un error conocido como Burp Spider. The Burp Spider es un programa que recorre todas las páginas de objetivos indicadas en el alcance. Antes de comenzar un error de Burp, Burp Suite debe estar arreglado para capturar el tráfico HTTP.

¿Qué son las pruebas de entrada de aplicaciones web??

Las pruebas de entrada de aplicaciones web realizan un asalto digital para recopilar datos sobre su marco, descubrir debilidades en él y descubrir cómo esas deficiencias podrían eventualmente comprometer su aplicación o sistema.

Interfaz

Al igual que otras herramientas, Burp Suite contiene filas, barras de menú y varios conjuntos de paneles.

La siguiente tabla muestra las distintas opciones que se describen a continuación.

1. Pestañas de selección de herramientas y opciones: seleccione las herramientas y la configuración.
2. Vista del mapa del sitio: muestra el mapa del sitio.
3. Cola de solicitudes: muestra cuándo se están realizando las solicitudes.
4. Detalles de solicitud / respuesta: muestra solicitudes y respuestas del servidor.

La creación de arañas en un sitio web es una función importante de realizar pruebas de seguridad web. Esto ayuda a identificar el grado de aplicación web. Como se mencionó anteriormente, Burp Suite tiene su propia araña, llamada Burp Spider, que puede deslizarse en un sitio web. Incluye principalmente cuatro pasos.

Pasos

Paso 1: configurar un proxy

Primero, inicie Burp Suite y verifique las opciones debajo del Opciones subpestaña.

Detectar IP es localhost IP y el puerto es 8080.

Además, detecta para asegurarte de que la Intercepción esté ACTIVADA. Abra Firefox y vaya al Opciones pestaña. Hacer clic Preferencias, luego La red, luego Configuración de conexión, y después de eso, elige el Configuración de proxy manual selección.

Para instalar el proxy, puede instalar el selector de proxy desde el Complementos página y haga clic en Preferencias.

Ir Administrar proxies e incluir otro intermediario, completando los datos aplicables.

Haga clic en el Selector de proxy en la parte superior derecha y seleccione el proxy que acaba de crear.

Paso 2: obtener contenido

Después de configurar el proxy, vaya al objetivo ingresando la URL en la barra de ubicación. Puedes ver que la página no se carga. Esto ocurre porque Burp Suite está capturando la asociación.

En Burp Suite, puede ver las opciones de solicitud. Haga clic hacia adelante para avanzar en la asociación. En este punto, puede ver que la página se ha acumulado en el programa.

Volviendo a Burp Suite, puede ver que todas las áreas están pobladas.

Paso 3: Selección e inicio de Spider

Aquí, el objetivo mutillidae esta elegido. Haga clic derecho en el mutillidae objetivo del mapa del sitio y seleccione el Araña de aquí opción.

Cuando comience la Araña, obtendrá un breve detalle, como se muestra en la figura adjunta. Esta es una estructura de inicio de sesión. La araña podrá gatear según la información proporcionada. Puede omitir este proceso haciendo clic en el botón 'Ignorar formulario'.

Paso 4: manipular los detalles

A medida que corre el error, el árbol dentro del mutillidae la rama se llena. Asimismo, las solicitudes realizadas aparecen en la línea, y los detalles se enumeran en el Pedido pestaña.

Continúe hacia varias pestañas y vea todos los datos básicos.

Finalmente, verifique si el Spider está listo revisando la pestaña Spider.

Estos son los aspectos esenciales y las etapas iniciales de una prueba de seguridad web con Burp Suite. Spidering es una pieza importante del reconocimiento durante la prueba, y al ejecutar esto, puede comprender mejor la ingeniería del sitio objetivo. En los próximos ejercicios de instrucción, ampliaremos esto a diferentes herramientas en el conjunto de dispositivos de Burp Suite.

Conclusión

Burp Suite se puede utilizar como un intermediario http fundamental para bloquear el tráfico para investigación y reproducción, un escáner de seguridad de aplicaciones web, un instrumento para realizar ataques mecanizados contra una aplicación web, un dispositivo para inspeccionar un sitio completo para reconocer la superficie de asalto y un API del módulo con muchos complementos externos accesibles. Espero que este artículo te haya ayudado a aprender más sobre esta increíble herramienta de prueba de lápiz.