3.11.2020

BurpSuite XXXII - Agregando vulnerabilidades personalizadas en Burp Suite

En esta entrada de Burp Suite, veremos un nuevo plugin el cual tiene como fin adicionar manualmente vulnerabilidades como lo llama el mismo Burp Suite Issues.


Realizando un pentest identificamos que en el sitio www.sniferl4bs.com se identifica un IDOR el cual es explotable por medio de una modificación de parámetros y bajo un escenario en especifico que fue identificado, queremos contar con la identificación de la vulnerabilidad para pasar a un tercero o tener el registro en especifico. 


Este plugin se encuentra en la Bapp Store el cual es Add & Track Custom Issues, basta con dirigirnos a la pestaña respectiva y proceder instalándolo, considerando que debemos de tener previamente configurado Jython en la entrada Configuración de Plugins en Burp Suite, la limitación del plugin es que solo esta disponible para la versión PRO. 




Al instalar el plugin, nos habilita una nueva pestaña con la siguiente interfaz:

      • Add Issue: Agregar una vulnerabilidad
      • Delete Issue: Eliminar una Vulnerabilidad. 
      • Export to CSV - JSON: Exportar las vulnerabilidades en formato csv y json.
      • Import to CSV - JSON: Importar las vulnerabilidades en formato csv y json.



Al registrar un nuevo ISSUE nos permite configurar el nombre de la vulnerabilidad, el nivel  si es alto, medio, bajo, informativo, si va por HTTP o HTTPS configurar el puerto, el host y el path como datos principales.

Nos permite adicionar el Request y el Response de la PoC para tenerlo registrado.

Teniendo como resultado final, las vulnerabilidades que vayamos agregando, esto ya con el fin de presentar el escaneo de Burp directamente lo cual lo vería muy raro de que alguien lo haga directo, pero para un parseo posterior puede venir de mucha ayuda.


Este fin de semana estaremos con una entrada para trabajo colaborativo con Burp Suite, y si les debo el podcast #50 que sale hasta el día viernes.


«No importa lo despacio que vayas, siempre y cuando no te detengas» Confucio

Regards,
Snifer


Compartir:

0 comentarios:

Publicar un comentario

Hola visitante! deja tu comentario sobre la entrada no spam!