Cubrimos los conceptos básicos del marco de pruebas de seguridad de aplicaciones web Burp Suite. Burp Suite es un marco basado en Java diseñado para servir como una solución integral para realizar pruebas de penetración de aplicaciones web. Se ha convertido en la herramienta estándar de la industria para evaluaciones prácticas de seguridad de aplicaciones web y móviles, incluidas aquellas que dependen de interfaces de programación de aplicaciones (API). Esto fue parte de TryHackMe BurpSuite: conceptos básicos para principiantes.
Obtenga COMPTIA Pe ntest+ Notas de estudio
El curso práctico completo del marco Metasploit
Descripción del desafío
Una introducción al uso de Burp Suite para el pentesting de aplicaciones web.
Vídeos destacados
Suite de eructos es un marco basado en Java diseñado para servir como una solución integral para realizar pruebas de penetración de aplicaciones web. Se ha convertido en la herramienta estándar de la industria para evaluaciones prácticas de seguridad de aplicaciones web y móviles, incluidas aquellas que dependen de aaplicación pagprogramación iinterfazs (API).
Simplemente pon, Suite de eructos captura y permite la manipulación de todo el tráfico HTTP/HTTPS entre un navegador y un servidor web. Esta capacidad fundamental forma la columna vertebral del marco. Al interceptar solicitudes, los usuarios tienen la flexibilidad de enrutarlas a varios componentes dentro del marco de Burp Suite, que exploraremos en las próximas secciones. La capacidad de interceptar, ver y modificar solicitudes web antes de que lleguen al servidor de destino o incluso manipular las respuestas antes de que nuestro navegador las reciba hace de Burp Suite una herramienta invaluable para las pruebas manuales de aplicaciones web.
- Apoderado: El eructo Apoderado es el aspecto más famoso de Burp Suite. Permite la interceptación y modificación de solicitudes y respuestas mientras interactúa con aplicaciones web.
- Reloj de repetición: Otra característica muy conocida. Reloj de repetición permite capturar, modificar y reenviar la misma solicitud varias veces. Esta funcionalidad es particularmente útil cuando se elaboran cargas útiles mediante prueba y error (por ejemplo, en SQLi: inyección de lenguaje de consulta estructurado) o se prueba la funcionalidad de un punto final en busca de vulnerabilidades.
- Intruso: A pesar de las limitaciones de tarifas en Burp Suite Community, Intruso permite rociar puntos finales con solicitudes. Se utiliza comúnmente para ataques de fuerza bruta o puntos finales difusos.
- Descifrador: Descifrador ofrece un valioso servicio para la transformación de datos. Puede decodificar información capturada o codificar cargas útiles antes de enviarlas al objetivo. Si bien existen servicios alternativos para este propósito, aprovechar Decoder dentro de Burp Suite puede resultar muy eficiente.
- comparador: Como el nombre sugiere, comparador permite la comparación de dos datos a nivel de palabra o de byte. Si bien no es exclusiva de Burp Suite, la capacidad de enviar segmentos de datos potencialmente grandes directamente a una herramienta de comparación con un único método abreviado de teclado acelera significativamente el proceso.
- Secuenciador: Secuenciador Normalmente se emplea al evaluar la aleatoriedad de los tokens, como los valores de las cookies de sesión u otros datos supuestamente generados aleatoriamente. Si el algoritmo utilizado para generar estos valores carece de una aleatoriedad segura, puede exponer vías para ataques devastadores.
Respuestas de la habitación
¿Qué edición de Burp Suite usaremos en este módulo?
Comunidad de la suite Burp
¿Qué edición de Burp Suite se ejecuta en un servidor y proporciona un escaneo constante en busca de aplicaciones web de destino?
Burp Suite Empresarial
Burp Suite se utiliza con frecuencia para atacar aplicaciones web y aplicaciones ______.
Móvil
¿Qué característica de Burp Suite nos permite interceptar solicitudes entre nosotros y el objetivo?
Apoderado
¿Qué herramienta Burp usaríamos si quisiéramos aplicar fuerza bruta a un formulario de inicio de sesión?
Intruso
Si hemos subido certificados TLS del lado del cliente en el Opciones de usuario pestaña, ¿podemos anularlos por proyecto (Sí/No)?
Sí
¿Qué botón elegiríamos para enviar una solicitud interceptada al objetivo en Burp Proxy?
Adelante
[Investigación] ¿Cuál es la combinación de teclas predeterminada para esto?
Ctrl+F
¿Cuál es la gravedad típica de una dependencia de JavaScript vulnerable?
Bajo
Tutorial en vídeo