Burp Suite es una plataforma completa que, al usar todas sus herramientas integradas, logra hacer diferentes y eficaces pruebas de seguridad a aplicaciones web. Lo útil de esta Suite radica en el hecho que no sólo es una herramienta para detectar espacios vulnerables sino que es todo un sistema de seguridad completo, esto gracias a sus herramientas, las cuales trabajan juntas para alcanzar los objetivos planteados.
Al utilizar esta herramienta de forma correcta, configurando el navegador y el servidor proxy, nos da la posibilidad de ejercer cierto control sobre el trafico que se intercambia entre el navegador y el servidor web. Burp Suite comprende una interfaz que resulta muy fácil de utilizar, todas las acciones se representan de manera gráfica y permite detectar vulnerabilidades y reproducir bugs.
La instalación de esta Suite es muy sencilla, en el sistema Kali Linux ya viene incorporada, pero si se tiene otro sistema operativo hay que tener especial cuidado cuando se esté haciendo la instalación del proxy ya que de esto depende que se pueda dar uso correcto a la herramienta. Este proxy es el que se encuentra después del navegador y antes del servidor web, es ahí donde realiza sus funciones que van desde detectar espacios vulnerables, hacer ataques de fuerza bruta y algunas funciones más que veremos detalladamente a continuación.
¿Cuáles son las herramientas internas de Burp Suite y para qué sirven?
- Target: Con esta herramienta podemos crear un mapa de acción y a partir de él poder ejecutar las demás herramientas a fin de alcanzar el propósito establecido. En esta fase es en la que se decide qué herramientas debemos usar dependiendo de lo que se desee lograr.
- Araña o Spider: Esta funciona de manera automatizada y con ella se puede inspeccionar detalladamente cada página web o cada uno de los recursos de la aplicación web que se esté auditando. Una herramienta muy completa con una gran utilidad.
- Proxy: Este, tal como lo explicamos anteriormente, se instala entre el internet y el navegador web, esto con la intención de interceptar todas las peticiones e inspeccionar minuciosamente el tráfico que se recibe.
- Escáner: Este se emplea en aplicaciones webs y es un sistema avanzado con el que se pueden identificar las vulnerabilidades que existan dentro de la misma sin importar si estas son activas o pasivas.
- Es una herramienta especial de intrusión: con esta herramienta se pueden realizar varias funciones, entre ellas se encuentran el poder hacer ataques de fuerza bruta, directorios, enumeración en usuarios y ataques de SQLI o XSS.
- Una herramienta especial para repetir: al aplicar esta herramienta podemos modificar cabeceras y parámetros de las peticiones interceptadas y, luego de ser manipuladas, poder soltarlas nuevamente.
- Herramienta especial secuenciadora: utilizándola de manera correcta podemos obtener, por medio del ataque de fuerza bruta, tokens CSRF y cookies. Además podemos la aleatoriedad de los tokens en los inicios de sesión.
- Herramienta de comparación: permite realizar comparaciones de datos entre las respuestas y peticiones.
- Codificador: Permite la codificación y decodificación de los parámetros hashes, URLs , ente otros.
- Extensiones: Se puede crear plugins personalizados con el fin de hacer ataques más directos.
Burp Suite ha demostrado ser una herramienta completa que se debe saber utilizar para recibir resultados óptimos. En internet se puede adquirir una versión más amplia de esta Suite que nos brindará un mejor desempeño, sin embargo hay que tener especial cuidado con las versiones gratis que se encuentran por ahí ya que muchas veces vienen crackeadas lo que no es de provecho para ningún propósito al que se desee llegar.
Adquierelo directamente en su web oficial.