Suite para eructos

Software de seguridad web

Burp Suite es una herramienta de software patentada para la evaluación de seguridad y pruebas de penetración de aplicaciones web. ^{[1] [2]} Este software fue desarrollado inicialmente entre 2003 y 2006 por Dafydd Stuttard ^[3] para automatizar sus propias necesidades de pruebas de seguridad, después de darse cuenta de las capacidades de las herramientas web automatizables como Selenium . ^[4] Stuttard creó la empresa PortSwigger para desarrollar Burp Suite. Hay disponibles versiones comunitarias, profesionales y empresariales de este producto.

Entre las capacidades destacadas de esta suite se incluyen funciones para realizar rastreos web mediante proxy (Burp Proxy), ^[5] registrar solicitudes/respuestas HTTP (Burp Logger y HTTP History), capturar/interceptar solicitudes HTTP en movimiento (Burp Intercept), ^[6] y agregar informes que indican debilidades (Burp Scanner). ^[7] Este software utiliza una base de datos incorporada que contiene patrones de sintaxis y palabras clave conocidos como inseguros para buscar dentro de las solicitudes/respuestas HTTP capturadas. ^[8]

Burp Suite posee varias funcionalidades de tipo penetración. Algunos servicios PoC integrados incluyen pruebas para degradación de HTTP, ^[9] interacción con servidores sandbox externos alojados en la herramienta (Burp Collaborator), ^[10] y análisis de la fuerza de la pseudoaleatorización (Burp Sequencer). ^{[11] Esta herramienta permite la integración de funcionalidades definidas por el usuario mediante la descarga de} complementos de código abierto (como Java Deserialization Scanner ^[12] y Autorize ^[13] ).

Características

Como analizador de seguridad web , Burp Suite ofrece varias funciones integradas diseñadas para ayudar a los evaluadores a auditar sus aplicaciones web.

Edición comunitaria

La versión Community Edition de Burp Suite incluye las siguientes características. ^[14]

• Burp Proxy and Interceptor: Al igual que otros escáneres de seguridad de aplicaciones web , una de las principales funcionalidades detrás de Burp Suite es su capacidad de actuar como un servidor proxy para solicitudes HTTP del lado del cliente. ^[15] Los evaluadores de penetración pueden interceptar las variables de solicitudes HTTP predeterminadas de los servidores web (atributos, parámetros del cuerpo, cookies, encabezados) en tiempo real y editar estos valores sobre la marcha. ^[16]
• Mapa del sitio de Burp: BurpSuite funciona de manera similar al software OWASP ZAP , en el que los mapas de sitios de las URL de destino ^[17] se pueden capturar mediante rastreo web automático o manual. ^[18] Cuando los usuarios rastrean una aplicación web, las solicitudes HTTP se envían a un proxy web en el software de Burp Suite. Una vez que se capturan las solicitudes/respuestas HTTP, estos puntos finales se pueden investigar manualmente o auditar automáticamente a través de las funciones de la edición Professional de Burp Suite.
• Burp Logger e historial HTTP: conserva una lista de solicitudes/respuestas HTTP capturadas durante el rastreo web (y escaneo automático para la edición Professional). ^{[19] [20]}
• Burp Repeater: repite solicitudes HTTP capturadas, lo que permite realizar cambios personalizados en las variables de solicitud. ^[21]
• Burp Decoder: automatiza la decodificación de texto. ^[22]
• Burp Sequencer: analiza una variable de token generada por la aplicación en solicitudes HTTP repetidas para determinar la fuerza de predictibilidad de la pseudoaleatoriedad.
• Burp Comparer: permite a los usuarios comparar el contenido encontrado entre dos solicitudes HTTP o respuestas HTTP diferentes. ^[23]
• Burp Extender: consulte la sección Burp Extender a continuación; ciertos complementos de Burp Suite están limitados a interactuar solo con la edición Profesional. ^[24]

Edición profesional

La edición profesional de Burp Suite incluye todas las funciones de la Comunidad más las que se enumeran a continuación.

• Burp Scanner: automatiza la auditoría de informes y/o el rastreo web de solicitudes/respuestas HTTP capturadas. Utiliza reglas internas para auditar el contenido de las respuestas HTTP interceptadas con el fin de buscar valores de respuesta vulnerables. Permite a los usuarios personalizar la velocidad de los escáneres y la cobertura de los hallazgos.
• Panel de Burp: muestra los resultados de los hallazgos y clasifica los problemas según su gravedad. ^[25] Se pueden proporcionar descripciones detalladas y pasos de solución según el tipo de hallazgo. ^[26]
• Burp Intruder: De manera similar a Burp Repeater en un sentido más amplio, otorga a los usuarios los medios para enviar múltiples solicitudes HTTP paralelas con cambios en las variables de solicitud especificadas. ^[27]
• Burp Collaborator: simula el alojamiento del servidor C2 para intentar la interacción con servicios externos y ataques fuera de banda. ^[28]
• Burp Organizer: permite a los usuarios organizar solicitudes/respuestas HTTP seleccionadas en una colección guardada. ^[29]
• Burp Infiltrator: un agente IAST programado para automatizar el escaneo interactivo/en tiempo de ejecución y comunicar los resultados a través de la función Burp Collaborator. ^[30]
• Burp Clickbandit: una herramienta para probar el concepto de ataques de clickjacking contra archivos HTML y JavaScript del frontend de aplicaciones web. ^[31]
• Guardado de archivos: la edición profesional permite a los usuarios guardar sus proyectos como archivos ".burp". ^[32]

Extensor de eructos

BApps Burp Suite ofrece una tienda de extensiones ^[33] donde los usuarios pueden cargar y descargar complementos para funciones que no son compatibles de forma nativa. Los distintos complementos varían en cuanto a funcionalidad, desde ajustes para la legibilidad de la interfaz de usuario, adiciones a las reglas del escáner e implementaciones de nuevas funciones basadas en análisis.

La API de extensión de Burp Suite es de código abierto. ^{[34] [35]} La compatibilidad con complementos de Java es nativa, mientras que las extensiones que usan Python y Ruby requieren que los usuarios descarguen archivos JAR para Jython y JRuby respectivamente. ^[36]

Los empleados de Portswigger también han creado muchos complementos de Burp como un medio para desarrollar pruebas de concepto para la investigación realizada por la empresa. ^[37] Algunos ejemplos de estos incluyen extensiones creadas por James Kettle, director de investigación de Portswigger, ^[38] incluyendo Backslash Powered Scanner, ^{[39] [40]} Param Miner, ^{[41] [42]} y HTTP Request Smuggler. ^{[43] [44]}

B-Cheques

Los BChecks se agregaron a Burp Suite en junio de 2023 ^[45] como un medio para permitir a los usuarios crear y personalizar sus propias reglas de escáner. ^{[46] Portswigger mantiene una colección seleccionada de BChecks a través de un proyecto} de GitHub de código abierto . ^[47]

Bambdas

Los usuarios pueden escribir scripts de Java para crear filtros de índice de solicitud/respuesta HTTP personalizados en el historial HTTP del proxy de Burp Suite, el historial de WebSocket y las listas de registradores. ^{[48] [49]}

Véase también

• Seguridad de la aplicación
• Pruebas de seguridad de aplicaciones dinámicas (DAST)
• Evaluación de vulnerabilidades (informática)
• Evaluación de seguridad de la tecnología de la información
• ZAP de OWASP
• Rastreador web
• Servidores proxy web

Referencias

1. Rahalkar, Sagar Ajay (2021). Una guía completa de Burp Suite: aprenda a detectar vulnerabilidades de aplicaciones . Apress. ISBN 978-1-4842-6401-0.
2. Lozano, Carlos A.; Shah, Dhruv; Walikar, Riyaz Ahemed (28 de febrero de 2019). Pruebas de penetración de aplicaciones prácticas con Burp Suite . Packt Publishing. ISBN 9781788995283.
3. PortSwigger. "Acerca de". PortSwigger . Consultado el 9 de julio de 2024 .
4. PortSwigger (9 de julio de 2020). "Pregúntame lo que quieras, con el creador de Burp Suite, Dafydd Stuttard". YouTube . Consultado el 9 de julio de 2020 .
5. Rose, Adam (21 de abril de 2023). "Proxy VM Traffic Through Burp Suite". FortyNorth Security . Consultado el 9 de julio de 2024 .
6. Setter, Matthew (6 de diciembre de 2017). "Introducción a Burp Suite". Desarrollo web con Matt . Consultado el 6 de diciembre de 2017 .
7. Lavish, Zandt. "Introducción al escaneo automático de Burp Suite". GreatHeart . Consultado el 12 de julio de 2022 .
8. Shelton-Lefley, Tom. "Cartografía de aplicaciones web: mapeo del rastreador de Burp Suite". PortSwigger . Consultado el 5 de marzo de 2021 .
9. PortSwigger. "Normalización HTTP/2 en el editor de mensajes". PortSwigger . Consultado el 9 de julio de 2024 .
10. Stuttard, Dafydd. "Presentación de Burp Collaborator". PortSwigger . Consultado el 16 de abril de 2015 .
11. Stuttard, Dafydd. "Presentación de Burp Sequencer". PortSwigger . Consultado el 21 de octubre de 2007 .
12. "Escáner de deserialización de Java". GitHub . Consultado el 9 de julio de 2024 .
13. "Autorizar". GitHub . Consultado el 9 de julio de 2024 .
14. ""Burp Suite: Página de inicio"". portswigger.net . Consultado el 24 de febrero de 2016 .
15. PortSwigger. "Proxy". PortSwigger . Consultado el 9 de julio de 2024 .
16. Setter, Matthew (9 de febrero de 2018). "Cómo interceptar solicitudes y modificar respuestas con Burp Suite". YouTube . Consultado el 9 de febrero de 2018 .
17. "Burp Suite 101: Exploración de la especificación de destino y proxy de Burp". Hacklido . 15 de octubre de 2023 . Consultado el 15 de octubre de 2023 .
18. PortSwigger. "Rastreo completo y auditoría". PortSwigger . Consultado el 9 de julio de 2024 .
19. Aggarwal, Sahil (11 de enero de 2023). "BurpSuite Logger Secrets for Pentesters" (Secretos del registrador de BurpSuite para pentesters). Blog de CertCube . Consultado el 11 de enero de 2023 .
20. Pradeep. "Filtrado del historial HTTP de Burp Suite". Study Tonight . Consultado el 2 de junio de 2023 .
21. TryHackMe. "Burp Suite Repeater". TryHackMe . Consultado el 9 de julio de 2024 .
22. Chandel, Raj (24 de enero de 2018). "Tutorial del codificador y decodificador BurpSuite". Artículos sobre piratería . Consultado el 24 de enero de 2018 .
23. Salame, Walid (9 de abril de 2024). "Cómo utilizar el decodificador de eructos". KaliTut . Consultado el 9 de abril de 2024 .
24. PortSwigger. "Instalación de extensiones". PortSwigger . Consultado el 9 de julio de 2024 .
25. PortSwigger. "Panel de control". PortSwigger . Consultado el 9 de julio de 2024 .
26. PortSwigger. "Lista de vulnerabilidades". PortSwigger . Consultado el 9 de julio de 2024 .
27. FireCompass (31 de octubre de 2023). "Dominar los modos de ataque de los intrusos de Burp". Blog de FireCompass . Consultado el 31 de octubre de 2023 .
28. PortSwigger. "OAST". PortSwigger . Consultado el 9 de julio de 2024 .
29. PortSwigger. "Organizador". PortSwigger . Consultado el 9 de julio de 2024 .
30. Stuttard, Dafydd. "Presentación de Burp Infiltrator". PortSwigger . Consultado el 26 de julio de 2016 .
31. Roof, Zach. "Aprenda a hacer clickjacking con Burp Suite". Teachable . Consultado el 9 de julio de 2024 .
32. PortSwigger. «Administrar archivos de proyecto». PortSwigger . Consultado el 9 de julio de 2024 .
33. PortSwigger. "BApp Store". PortSwigger . Consultado el 9 de julio de 2024 .
34. PortSwigger. "Creación de extensiones". PortSwigger . Consultado el 9 de julio de 2024 .
35. "Burp Extensions Montoya API". GitHub . Consultado el 9 de julio de 2024 .
36. "Extensiones TryHackMe Burp Suite". Medium . Consultado el 21 de marzo de 2024 .
37. PortSwigger. "Investigación". PortSwigger . Consultado el 9 de julio de 2024 .
38. PortSwigger. "Conoce a los Swiggers: James K". PortSwigger . Consultado el 9 de julio de 2024 .
39. "Escáner con tecnología de barra invertida". GitHub . Consultado el 9 de julio de 2024 .
40. Kettle, James. "Backslash Powered Scanning: hunting unknown vulnerability classes" (Escaneo potenciado por barra invertida: búsqueda de clases de vulnerabilidad desconocidas). PortSwigger Research . Consultado el 4 de noviembre de 2016 .
41. "Param Miner". GitHub . Consultado el 9 de julio de 2024 .
42. Kettle, James. "Envenenamiento práctico de caché web". PortSwigger Research . Consultado el 9 de septiembre de 2018 .
43. "Contrabandista de solicitudes HTTP". GitHub . Consultado el 9 de julio de 2024 .
44. Kettle, James. "Ataques de desincronización HTTP: el renacimiento del contrabando de solicitudes". PortSwigger Research . Consultado el 7 de septiembre de 2019 .
45. PortSwigger. "Comunidad Profesional 2023.6". PortSwigger . Consultado el 9 de julio de 2024 .
46. "Utilice BCheck para mejorar el análisis de vulnerabilidades". YesWeHack . Consultado el 1 de septiembre de 2023 .
47. "BChecks". GitHub . Consultado el 9 de julio de 2024 .
48. Stocks, Emma. "Presentación de Bambdas". PortSwigger . Consultado el 14 de noviembre de 2023 .
49. "Bambdas". GitHub . Consultado el 9 de julio de 2024 .

Enlaces externos

• Sitio web oficial