Consejos de Burp Suite

Burp Suite es una plataforma para realizar pruebas de seguridad de aplicaciones web. En esta publicación, compartiré algunos consejos sobre cómo usar esta herramienta de manera más efectiva.





Configuraciones



Para que funcione correctamente con cualquier herramienta, es importante personalizarla usted mismo. Hay 2 tipos de configuraciones en Burp Suite:



  • Opciones de usuario : configuración relacionada con Burp Suite en sí
  • Opciones de proyecto : configuración de lo que hackea


Codificaciones



, . UtF-8 . User Options -> Display -> Characters Sets.







Burp Suite . , " ". User Options -> Misc -> Hotkeys. :



  • \:

    • Ctrl+(Shift)+U|H|B “URL|HTML|Base64 (de)code”
  • GUI:

    • Ctrl+Shift+T|P|S|I|R — “ ”
    • Ctrl+I|R|D — " "
  • Burp Repeater:

    • Ctrl+G — " Burp Repeater"


Proxy Interception



, Burp Proxy - , ? . - , . … , . User -> Misc -> Proxy Interseption "Always Disable".







PortSwigger . "", . , — , PortSwigger. User Options -> Misc -> Performance Feedback .



Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server







, . :



  • ( JSON ).
  • .
  • (, git ).
  • :


{
    "project_options":{
        // options
    },
    "user_options":{
        // options
    }
}




Burp Suite . , .





, .





Burp Suite Java, , . :



java -jar -Xmx2048M burp.jar




Burp Suite. :



  • Burp Proxy Burp Suite, , , .
  • Burp Repeater — HTTP-, - .
  • Burp Intruder — -. , , .




, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .







Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.







Burp Suite , , . , , - .





Burp Repeater, Burp Intruder, .





. Burp , , . , , "+", "Auto-scroll to match when text changes".







\. Burp Repeater View->Top/bottom split







Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .







Burp Intruder , . , /, - . , , , , .



:



  • Add prefix / suffix — .
  • Match / replace — , , .
  • Encode / Decode — : URL, HTML, Base64, ASCII hex.
  • Hash — .
  • Skip if matches regex — , . , , , , .




Intruder



Burp Intruder , . Burp . , , , .





El uso de esta opción se vuelve más útil al analizar grandes volúmenes de resultados de escaneo y le permite encontrar rápidamente cosas de interés. Por ejemplo, al probar inyecciones de SQL, la búsqueda de mensajes que contengan "ODBC", "error", etc. lo ayudará a encontrar rápidamente los parámetros vulnerables.




All Articles