Burp Suite - Parte II
Diego Venera. En esta la segunda parte, profundizaremos aún más en las capacidades de Burp Suite. Además de las características técnicas que hacen de esta herramienta un estándar en la industria de la ciberseguridad, compartiré algunas de mis experiencias personales, destacando cómo Burp Suite se ha convertido en un aliado invaluable en mi día a día como estudiante de seguridad informática.
Así que prepárense para adentrarse en el mundo de la evaluación de seguridad en aplicaciones web con Burp Suite, una herramienta que combina lo técnico con lo práctico de manera excepcional.
En esta ocasión, mostraré algunos ejemplos prácticos a través de Burp Suite para probar la seguridad de algunos sitios, teniendo en cuenta las buenas prácticas y siendo lo más ético posible.
Enumeración de Directorios y Modificación de Peticiones en Burp Suite
En el presente ejercicio, expondré la metodología para una Enumeración de Directorios y Modificación de Peticiones empleando Burp Suite. Asimismo, detallaré los pasos necesarios para la configuración inicial que garantice el óptimo desempeño de nuestro proxy web, permitiéndonos así establecer conexiones y efectuar la interceptación del tráfico de manera efectiva.
Es importante destacar que, para la ejecución de estos ejercicios, elegí implementar Burp Suite en un entorno operativo basado en Kali Linux. A partir de esta premisa, procederemos con la enumeración de los siguientes pasos correspondientes a nuestro primer ejercicio:
Paso 1: Instalación
Descarga e instala Burp Suite en tu sistema. Puedes obtener la versión gratuita desde el sitio web oficial de PortSwigger, o si cuentas con la versión Professional, instálala siguiendo las instrucciones proporcionadas. En mi caso, uso Kali Linux para las respectivas pruebas y lo haré por línea de comandos.
Paso 2: Configuración del Proxy
En la pestaña Proxy de Burp Suite, verás la sección Proxy Listener. Allí, puedes configurar el puerto en el que el proxy web escuchará las solicitudes. Por defecto, suele ser el puerto 8080, pero puedes ajustarlo según tus preferencias o requerimientos.
Si deseas que Burp Suite intercepte el tráfico HTTPS, asegúrate de habilitar la opción Intercept HTTPS CONNECT. Esto permitirá que Burp actúe como intermediario para las conexiones HTTPS, lo que es útil para análisis de tráfico seguro.
Paso 3: Configuración del Navegador
Para dirigir el tráfico web a través de Burp Suite, debes configurar tu navegador web para que utilice el proxy que acabas de configurar. Es recomendable usar el navegador Firefox, debido a su facilidad de configuración y eficiencia al trabajar con esta herramienta.
Abre la configuración de tu navegador y busca la sección de configuración de proxy o red.
Establece la dirección IP de tu máquina y el puerto en el que Burp Suite escucha como servidor proxy. Si Burp Suite y tu navegador se encuentran en la misma máquina, utiliza localhost o 127.0.0.1 como la dirección IP.
Paso 4: Certificado SSL de Burp Suite
Cuando interceptas tráfico HTTPS, es posible que debas instalar el certificado SSL de Burp Suite en tu navegador. Este certificado permite que Burp Suite cifre y descifre el tráfico HTTPS de manera adecuada.
Para instalar el certificado SSL, en tu navegador Firefox escribe http://burp y verás lo siguiente:
Deberás descargar el certificado dando clic en CA Certificate (se descarga un archivo llamado cacert.der), luego para importarlo nos dirigimos a Certificate Manager en Configuraciones y damos clic en Import para seleccionar nuestro certificado:
Con estos pasos, habrás configurado correctamente el proxy web en Burp Suite. Ahora estás listo/a para interceptar y analizar el tráfico web en tus pruebas de seguridad o análisis de aplicaciones web de manera más efectiva.
Paso 5: Iniciar la grabación del Tráfico
Inicia la grabación del tráfico web en Burp Suite. Ve a la pestaña Proxy y asegúrate de que el botón Intercept esté activado (semáforo en color rojo).
Ahora detalla las acciones en tu navegador que deseas analizar, como navegar por un sitio web o realizar una acción en una aplicación web. Burp Suite interceptará el tráfico y mostrará las solicitudes y respuestas HTTP/HTTPS en la pestaña Proxy en tiempo real. Hechos los pasos anteriores, ya tenemos nuestro entorno preparado para proceder con nuestro ejemplo.
A continuación, usaremos el sitio de prueba http://testphp.vulnweb.com/, para luego interceptar el tráfico de dicho sitio.
Como se puede apreciar en la imagen, con solo abrir la página principal de la web en prueba, automáticamente Burp Suite muestra un sitemap (lista de directorios que contiene un sitio) de la web. Esto es una ventaja porque facilita la detección inmediata de algunos directorios sensibles.
Por ejemplo, en mis prácticas me he cruzado con algunos sitios que contienen datos sensibles en algunos directorios o archivos de configuración de servidor que son muy comunes. Esto es un problema, pues dejar habilitado algunos directorios sin algún tipo de autenticación puede ser muy perjudicial para el propietario del sitio o de alguna empresa.
Otro ejemplo que mostraré a continuación es sobre cómo interceptar y modificar la petición que se hace a un sitio, antes de que ésta llegue al servidor.
Tenemos esta ventana de login en el sitio de prueba y lo que quiero hacer es interceptar las credenciales y luego modificarlas. Un ejemplo más claro es lo siguiente:
Para entender un poco lo sucedido, daré una breve explicación. Básicamente, al rellenar los campos requeridos y dar clic en el botón de login, automáticamente el tráfico es interceptado y la página se pone en modo de espera. Esto permite modificar la petición antes de que llegue al servidor de destino.
Como ya sabemos, esta página es solo con fines de pruebas. Por lo tanto, el usuario y contraseña por defecto son test/test. Ahora modificamos nuestra petición y enviamos las credenciales correctas.
Al hacer esto, notamos que hemos iniciado sesión con éxito a través de la modificación de peticiones.
Cabe destacar que existen muchas opciones para hacer uso en Burp Suite, e incluso lo anterior podemos automatizarlo a través del Repeater para simular algo parecido a un ataque de fuerza bruta. Desafortunadamente, en la versión gratuita de esta herramienta existen muchas limitaciones, pero puede ser de gran ayuda si estás aprendiendo sobre Pentesting web.
Consejos
- Habilita y deshabilita la interceptación selectivamente para evitar interrupciones constantes.
- Modifica y reenvía solicitudes para probar diferentes entradas y respuestas de la aplicación web.
- Explora las reglas de interceptación avanzadas para automatizar acciones personalizadas.
- Presta atención a las cookies y sesiones web al modificar solicitudes para simular diferentes estados de sesión.
Recuerda que debes utilizar Burp Suite de manera ética y obtener el permiso adecuado antes de realizar modificaciones en solicitudes, especialmente en entornos de aplicaciones web que no te pertenezcan.
Conclusión
Personalmente, he tenido la oportunidad de utilizar Burp Suite en numerosos proyectos de seguridad, y siempre me ha impresionado su potencia y facilidad de uso. La capacidad de identificar vulnerabilidades, analizar el tráfico y colaborar con otros profesionales de seguridad en tiempo real lo convierte en una herramienta inigualable. Burp Suite no solo simplifica y optimiza la evaluación de seguridad en aplicaciones web, sino que también ofrece un nivel de confianza y control que es esencial en nuestro campo.
Siendo una herramienta todo en uno altamente eficaz, Burp Suite se destaca como una elección inteligente para cualquier persona comprometida con la seguridad en línea.
Listopro Community da la bienvenida a todas las razas, etnias, nacionalidades, credos, géneros, orientaciones, puntos de vista e ideologías, siempre y cuando promuevan la diversidad, la equidad, la inclusión y el crecimiento profesional de los profesionales en tecnología.