🔹 🥙 🏙️ Consejos de Burp Suite 💪🏻 🏣 ⚙️

Burp Suite es una plataforma para realizar pruebas de seguridad de aplicaciones web. En esta publicación, compartiré algunos consejos sobre cómo usar esta herramienta de manera más efectiva.

Configuraciones

Para que funcione correctamente con cualquier herramienta, es importante personalizarla usted mismo. Hay 2 tipos de configuraciones en Burp Suite:

Opciones de usuario : configuración relacionada con Burp Suite en sí
Opciones de proyecto : configuración de lo que hackea

Codificaciones

, . UtF-8 . User Options -> Display -> Characters Sets.

Burp Suite . , " ". User Options -> Misc -> Hotkeys. :

\:
- Ctrl+(Shift)+U|H|B “URL|HTML|Base64 (de)code”
GUI:
- Ctrl+Shift+T|P|S|I|R — “ ”
- Ctrl+I|R|D — " "
Burp Repeater:
- Ctrl+G — " Burp Repeater"

Proxy Interception

, Burp Proxy - , ? . - , . … , . User -> Misc -> Proxy Interseption "Always Disable".

PortSwigger . "", . , — , PortSwigger. User Options -> Misc -> Performance Feedback .

Burp Collaborator, . WAF, burpcollaborator.net . Burp Collaborator Project Options -> Misc -> Burp Collaborator Server

, . :

( JSON ).
.
(, git ).
:

{
    "project_options":{
        // options
    },
    "user_options":{
        // options
    }
}

Burp Suite . , .

, .

Burp Suite Java, , . :

java -jar -Xmx2048M burp.jar

Burp Suite. :

Burp Proxy Burp Suite, , , .
Burp Repeater — HTTP-, - .
Burp Intruder — -. , , .

, . , , . Target -> Site Map, , Engagement tools -> Find reference. , , .

Burp Proxy. , ; false true .. . , . , bxss, BlindXSS. , . Proxy -> Options -> Match and replace.

Burp Suite , , . , , - .

Burp Repeater, Burp Intruder, .

. Burp , , . , , "+", "Auto-scroll to match when text changes".

\. Burp Repeater View->Top/bottom split

Burp Intruder, Burp Scanner , .. , Burp Intruder , , "Scan defined insertion points" . , .. Burp Scanner , , cookies, , URI, .

Burp Intruder , . , /, - . , , , , .

Add prefix / suffix — .
Match / replace — , , .
Encode / Decode — : URL, HTML, Base64, ASCII hex.
Hash — .
Skip if matches regex — , . , , , , .

Intruder

Burp Intruder , . Burp . , , , .

El uso de esta opción se vuelve más útil al analizar grandes volúmenes de resultados de escaneo y le permite encontrar rápidamente cosas de interés. Por ejemplo, al probar inyecciones de SQL, la búsqueda de mensajes que contengan "ODBC", "error", etc. lo ayudará a encontrar rápidamente los parámetros vulnerables.

Consejos de Burp Suite

Configuraciones

Codificaciones

Proxy Interception

Intruder

More articles: