BurpSuite V - Engagement Tools

No Comments
Los engagement tools sección de herramientas de ayuda/apoyo que nos brinda BurpSuite para realizar algunas tareas de reconocimiento e identificación de una manera mas rápida y fácil, a continuación conoceremos cada uno de ellos dando una pequeña y breve explicación la manera que nos puede servir.
  • Buscador
  • Búsqueda de Comentarios
  • Búsqueda de Scripts
  • Búsqueda de referencias
  • Analizar el Objetivo
  • Descubrir contenido
  • Programar Tarea.
  • Simulación de Testeo Manual

Dichos Engagement Tools, los vemos al hacer un click derecho sobre nuestro objetivo como se ve en la siguiente captura.


BUSCADOR

El primero es el buscador el cual como ven en la siguiente captura nos permite realizar busquedas de texto específicas por ejemplo si deseamos conocer todos los enlaces o textos que contengan la palabra admin, ya que esta podria ser enlaces al panel de administración o login en la siguiente captura se ve un ejemplo.


Búsqueda de Comentarios

Esta opción de busqueda de comentarios como lo dice es realizar una revision de comentarios que se encuentren en el sitio web, específicamente esto llega a servir cuando existen fallos del desarrollador, ya que aveces explican en TODO que cosas hacen porque lo hacen y hasta credenciales, que por cierto siempre sucede.


A la par tenemos la opción de exportar todos los comentarios que se identifiquen permitiendonos eliminar duplicados repetidos, e incluir URLS en el ficher que exportemos. 



Búsqueda de scripts

Sin repetir mucho de lo mencionado anteriormente esta opción busca todos los scripts que contenga la aplicación ya con esto es viable idenficar posibles debilidades.


Y como el anterior, con el es posible exportar los scripts.


Búsqueda de Referencias

El nombre lo indica ;). 



Analizar el Objetivo

Esta opción o apartado nos permite obtener un detalle relacionado al sitio teniendo cuatro pestañas diferentes la primera es un Sumario en el cual nos muestra las URLs dínamicas, urls estáticas, cantidad de parámetros, este siendo un pequeño reporte estadístico. 


ENLACES DINÁMICOS


ENLACES ESTÁTICOS

PARÁMETROS



Descubrir contenido

Esta opción es la que mas me agrada debido a que con ella uno  puede descubrir directorios, enlaces armando de esta manera un SITE MAP adicional con el cual es posible revisar e identificar enlaces que son de interés para una explotación.



En el apartado de configuración   - Config  tenemos las opciones para determianr que ficheros buscara, si será solo archivos o carpetas, y el nivel de profundidad, el tipo de búsqueda a realizar.


Programar Tarea

La opción de programar tarea es para mi la mas usada ya que puedo dejar un proceso como ser escaneo de vulnerabilidades, enviar a que realice el reconocimiento por medio de un crawling, esto sería mas usado por la noche o bien cuando deseamos ver si un sitio cambia constantemente el Spider nos sirve de mucho, como también para hacer un monitoreo continuo.




Una vez que seleccionamos la tarea nos solicita la URL a la cual deseamos realizar la operación


Por ultimo contamos con la opción de parametrizar la fecha que iniciará la tarea, la hora y el intervalo de tiempo, si se hara cada dia, hora, mes o solo una vez. 





Espero les guste esta serie y seguimos con mas.. que la próxima semana descansamos de BurpSuite ya que andaremos con las cápsulas de BurpSuite.

Entradas de la Serie. 


  • BurpSuite - La pequeña navaja Alemana
  • BurpSuite I - Primeros Pasos   
  • BurpSuite II - Intercepted, Tampering request! conociendo al proxy
  • Burpsuite III - Sitemap, Crawling, Vulnerability Scanning
  • BurpSuite IV - Configuración de Certificado digital, ProxyTOR?, guardando y recuperando


  • Regards,
    Snifer

    0 comentarios

    Publicar un comentario en la entrada