Después de esa no muy larga introducción a Burpsuite, en si lo que vendría la cual solo fue creada para presentación y demostración del micro temario que veremos ahora continuamos con esta entrega de esta herramienta, que recién el año pasado la llegue a conocer por una persona que llegue a admirar y respetar por su conocimiento cuando estuve pasando una certificación que si va bien las cosas espero aprobar bueno debo aprobar!!!.
- Que es Burpsuite
- Herramientas de Burpsuite la mini navaja Alemana
- Instalación
- Configuración de Burpsuite.
- Configurando el navegador.
Que es Burp Suite
 |
| Splash Burp Suite |
BurpSuite es una herramienta para realizar el análisis de seguridad de aplicaciones Web, la podemos llamar easy-to-use fácil de uso, BurpSuite cuenta con la integración de componentes que permiten realizar una auditoria a nuestras paginas mal configuradas y desarrolladas {:)
Burp Suite nos ayuda a verificar la robustes de los mecanismos de autenticación que se tengan implementados, nuestros testigos de inicio de sesión conocidos como tokens de sesión, todo en una sola herramienta ademas tenemos a disposición ataques combinados automáticos.
Burp se encuentra desarrollado y soportado por la empresa PortSwigger LTD. y tiene dos presentaciones las cuales son:
- Burp Free
- Burp Professional
Teniendo en cuenta las siguientes características o features entre ambas, como pueden ver el monto de la herramienta es de $299 por año, para la realización del tutorial usaremos la versión free ya luego ve cada uno que hacer como instalar y configurar lo veremos luego.
- Herramientas de Burpsuite la mini navaja Alemana
La mini navaja, cuenta con varias herramientas las cuales se encuentran disponibles como pestañas conoceremos cada una de ellas posteriormente.
- Target
- Spider
- Intruder
- Repeater
- Sequencer
- Decoder
- Comparer
 |
| Pestañas de Burp Suite |
Ahora nos toca instalar, lo haremos bajo Windows en esta ocacion puesto que es lo mismo el uso tanto como para Linux.
La instalación toma su tiempo por ello es recomendable no instalar, nada que ver veremos como hacer la instalación y configuración bajo Linux y entorno Windows llega a ser lo mismo.
Que necesito para BurpSuite?
- Espacio en disco 100 MB
- Memoria Ram mínimo 2gb ya que necesitara mas el desgraciado.
- Sistema Operativo el que gustes puesto que funciona en Mac, Linux, Windows
- Aplicaciones adicionales: Java, obviam}ente puesto que esta desarrollado en ello y ademas nuestro navegador Zorro bueno bueno Panda! ya saben de quien hablo de Firefox.
Para Linux ejecutamos de la siguiente forma:
$java -Xmx2g -jar burpsuite_v1.4.01.jar
Pero alguien me grita! que cara!"#!"# signigica -Xmx2g es una bandera que permite incrementan el uso a 2 gb de memoria para que ejecute Java, con ello ya tendremos a Bursp Suite funcionando
 |
| BurpSuite funcionando |
Y para Windows con un doble Click xD, personalmente prefiero usarlo en Linux pero como por ahora en Windows seguimos :P
- Configuración de Burpsuite.
Ahora toca realizar las configuraciones respectivas en Burp Suite para ello comenzaremos con el proxy el cual trabajara de la siguiente forma.
PD: No soy bueno con el paint Y_Y
Lo que hace el proxy es estar entre la comunicación del navegador con la pagina web así de simple.
Ahora para configurar lo que haremos es acceder a la pestaña Proxy, en la cual realizaremos los cambios respectivos según se de el caso como ven viene con el puerto 8080 por defecto configurado y podemos ver las opciones lo dejamos como esta en la siguiente imagen.
 |
| Configuración de Proxy |
Luego antes de olvidarnos y meter la patota, que mayormente a mi me paso fue el de no marcar que intercepte los request como los response! para ello bajamos un poco y marcamos ambos.
Configurando el navegador.
Ahora llego el turno del navegador, por comodidad usaremos Firefox, la razón de esta elección es porque recomiendan el uso de Burp Suite de firefox como navegador de apoyo.
Para ello nos descargamos el siguiente complemento
Foxyproxy standard en el cual realizaremos la configuración del proxy burp y luego cuando se desee no trabajar con el switcheamos :), asi que continuamos con ello luego de la descarga e instalación del plugin, tendremos el zorrito a lado de la seccion de URL como se ve a continuación.
 |
| Panel de configuracion FoxyProxy |
Después de tener la ventanita hacemos click en
Add new Proxy luego tendremos la siguiente ventana, donde iremos a la pestaña General y configuramos a nuestro gusto, agregando un nombre y un color ;). El siguiente paso es ir a la pestaña Proxy details y configuramos como se ve a continuación.
Con esto ya casi acabamos de configurar, ahora toca validar el funcionamiento al hacer click en nuestro amigo el zorrito tendremos el siguiente menu habilitamos la opción en BurpSuite el nombre que le dimos, la opcion de Use Proxy BurpSuite for all URL's.
 |
| Habilitando el proxy |
Ahora toca validar si esta funcionando correctamente BurpSuite con nuestro amigo el Panda, firefox para ello accederemos a www.sniferl4bs.com.
 |
| Permission Denied |
Tenemos un error, si les da quiere decir que andamos por buen camino con Burp Suite ;) ... Ahora toca trabajar con Burp Suite y habilitar el intercepted tiene que estar como en la siguiente imagen.
 |
| Intercepted On |
Tras realizar ese pequeño cambio volvemos al navegador y accedemos a ello Burp Suite interceptara la petición y con esto terminamos la configuración de manera correcta.
 |
| Burp Suite y Firefox configurados |
Algunos detalles mas... por conocer en la próxima entrada, en realidad el día de mañana veremos mas a fondo ya jugando con los request y response, un poco de manipulación de datos.
Regards,
Snifer
Hola a todos el pasado Sábado 25 de Enero rendí el examen de Oficial de Seguridad CISO (Certified Information Security Officer) una certificación nacional la cual me lleva un paso mas adelante de mis objetivos, algunos quizás sepan pero desde hace mucho tiempo ando con la idea de mejorar mis skills en seguridad, en todas las ramas que competen a este mundo que cada día me cautiva, veo a diario que no se nada solo tengo un 0,01% de conocimiento y aun me falta mucho por aprender.
Ya di el primer paso, ahora toca ver adelante y obtener primero WIFU si la certificación de Offensive Security [Offensive Security Wireless Attacks] la cual anda en mente sacarla hasta el mes de septiembre, mientras ande ahorrando para ella y poder obtenerla quizá alguno me pregunte porque no opto por una CEH pues simplemente ando un poco reacio con esta certificación es mucha burocracia para poder obtenerla rindiendo de forma directa, ya que la única opción es pagando la suma de 600$ para su training y de plus hacer toda un lió para obtener el voucher, ahora donde viene el detalle que por lo que vi, a uno le quitan la membresia si uno comparte información licenciada es decir libros y demás no tienes que tener nada, así que para que darla si soy pirata y moriré pirata xD.
Varios amigos, conocidos me preguntaron con que tiempo realizo las entradas para el blog, aun más estos días que son una entrada diaria, y aveces hasta 2 como el caso del día sábado que se me vino a la mente leer sobre CICADA, y armar una entrada en el bus mientras venia a la ciudad de Cochabamba, la respuesta a todos ellos es única, lo realizo en mis tiempos libres que no pasan de una hora a 2 horas diarias, a lo mucho los cuales voy aprovechando a lo máximo mientras ando leyendo mis feeds entro a underc0de, me pongo a realizar algunas pruebas de concepto y según aquellas salen ideas, eso es en un día normal de lunes a viernes, y por las noches que a veces me da insomnio me pongo a jugar un poco mas a fondo, como por ejemplo comiéndome algún libro si de informática o bien, relacionado a la literatura ;) o algo de por ahí.....
Para ello nos descargamos el siguiente complemento Foxyproxy standard en el cual realizaremos la configuración del proxy burp y luego cuando se desee no trabajar con el switcheamos :), asi que continuamos con ello luego de la descarga e instalación del plugin, tendremos el zorrito a lado de la seccion de URL como se ve a continuación.
