Introducción
Cubrimos el Proxy de la suite Burp configuraciones además de las configuraciones de alcance y objetivo como parte de la ruta TryHackMe Junior Penetration Tester.
Específicamente, veremos:
- ¿Qué es Burp Suite?
- Una descripción general de las herramientas disponibles en el marco
- Instala Burp Suite por ti mismo
- Navegando y configurando Burp Suite.
Obtenga notas del certificado OSCP
Curso completo de pruebas de penetración de aplicaciones web
También presentaremos el núcleo del marco de Burp Suite: Burp Proxy. Esta sala está diseñada principalmente para proporcionar un conocimiento básico de Burp Suite que luego se puede desarrollar en las otras salas del módulo Burp; como tal, en teoría será mucho más pesado que las salas posteriores, que adoptan un enfoque más práctico. Se recomienda leer la información aquí y seguir una copia de la herramienta si no ha utilizado Burp Suite antes. La experimentación es clave: use esta información junto con jugar con la aplicación para construir una base para usar el marco, que luego se puede desarrollar en salas posteriores.
En pocas palabras: Burp Suite es un marco escrito en Java que tiene como objetivo proporcionar una ventanilla única para las pruebas de penetración de aplicaciones web. En muchos sentidos, este objetivo se logra ya que Burp es en gran medida la herramienta estándar de la industria para evaluaciones prácticas de seguridad de aplicaciones web. Burp Suite también se usa con mucha frecuencia al evaluar aplicaciones móviles, ya que las mismas características que lo hacen tan atractivo para las pruebas de aplicaciones web se traducen casi perfectamente en las pruebas de API (Aaplicación PAGprogramación Iinterfaces) que impulsan la mayoría de las aplicaciones móviles.
En el nivel más simple, Burp puede capturar y manipular todo el tráfico entre un atacante y un servidor web: este es el núcleo del marco. Después de capturar las solicitudes, podemos optar por enviarlas a otras partes del marco de Burp Suite; cubriremos algunas de estas herramientas en las próximas salas. Esta capacidad de interceptar, ver y modificar solicitudes web antes de que se envíen al servidor de destino (o, en algunos casos, las respuestas antes de que nuestro navegador las reciba), hace que Burp Suite sea perfecto para cualquier tipo de prueba manual de aplicaciones web. .
Respuestas de la habitación
¿Qué edición de Burp Suite se ejecuta en un servidor y proporciona un escaneo constante en busca de aplicaciones web de destino?
Burp Suite se utiliza con frecuencia para atacar aplicaciones web y aplicaciones ______.
¿Qué herramienta Burp usaríamos si quisiéramos aplicar fuerza bruta a un formulario de inicio de sesión?
En el cual Opciones de proyecto En la subpestaña ¿puede encontrar una referencia a un “tarro de galletas”?
En el cual Opciones de usuario subpestaña ¿puedes cambiar el comportamiento de actualización de Burp Suite?
¿Cómo se llama la sección dentro del Opciones de usuario ¿Subpestaña “Suite” que le permite cambiar las combinaciones de teclas de Burp Suite?
Si hemos subido certificados TLS del lado del cliente en el Opciones de usuario pestaña, ¿podemos anularlos por proyecto (Sí/No)?
¿Qué botón elegiríamos para enviar una solicitud interceptada al objetivo en Burp Proxy?
[Investigación] ¿Cuál es la combinación de teclas predeterminada para esto?
Nota: Suponga que está utilizando Windows o linux (es decir, cambie Cmd por Ctrl).
¿Cuál es la bandera que recibes?
Revise la lista de Definiciones de problemas.
¿Cuál es la gravedad típica de una dependencia de JavaScript vulnerable?
