Burp Suite

0. Configurar Burp

Desde la web podemos descargar la última versión de Burp Suite, según el sistema operativo que usemos, y la versión de Burp Suite (Community, Pro o Enterprise) que queramos usar.

Para interceptar las peticiones con el navegador:

1. Descargamos herramientas como , y la instalamos en el navegador, añadiendo un nuevo proxy con IP 127.0.0.1 y puerto 8080.

2. Una vez instalado Burp, en la sección Proxy > Options > Proxy Listener > Add, indicando la IP y puerto anteriores.

3. Después vamos al navegador y escribimos en el buscador http://burp, descargamos e instalamos el certificado en el navegador.

4. Para ver el tráfico interceptado, vamos a la sección de Proxy > HTTP History.

NOTA: En Proxy > Intercept, debe estar "Intercept is off" para que el tráfico no sea parado y se pueda navegar con normalidad.

Si usamos Burp Suite desde Linux y solamente tenemos el fichero .jar, podemos ejecutar Burp a través del comando:

java -jar /opt/BurpSuitePro/burpsuite_pro.jar

1. Proxy

En Proxy > HTTP History tenemos el historial de todas las peticiones interceptadas a lo largo de la sesión.

1.1. Discover content

Esta funcionalidad permite buscar directorios y ficheros por defecto en un endpoint.

2. Repeater

Permite replicar cuantas veces quieras una petición, modificando los valores y parámetros.

3. Intruder

En estos artículos podéis encontrar, entre otras, distintas formas de hacer uso del intruder:

4. Decoder

Permite codificar o decodificar strings de datos que encontremos durante nuestro análisis

5. Extensiones

6. Opciones de Mozilla

Entre las peticiones que se interceptan en un proyecto de Burp, se pueden ver algunas que son "basura" del navegador, y que podemos desactivar accediendo a la configuración del navegador con about:config :

7. PortSwigger Academy

Recursos

PreviousBloodHound NextEnum4linux

Last updated 3 years ago

Was this helpful?