Tutorial de Burp Suite I – ¿Qué es Burp Suite?

Hace unos meses empecé a colaborar como alumno interno con el Departamento de Lenguajes y Sistemas Informáticos de la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Sevilla. Una de mis tareas es ayudar a uno de los profesores del departamento analizando Burp Suite como posible herramienta a usar en la asignatura de Seguridad en Sistemas Informáticos y en Internet y redactar un tutorial para aprender a aprovechar las ventajas que la herramienta ofrece. Por ello, empiezo una serie de entradas en las que explicaré paso a paso cómo usar Burp Suite con ejemplos. En esta primera entrada del tutorial de Burp Suite explicaré qué es Burp Suite e introduciré cada herramienta con un pequeño resumen explicativo. ¡Espero que a os sea útil!

Para redactar este tutorial me he basado en mi experiencia a lo largo de estos meses probando la herramienta
y en varias entradas de fwhibbit y sniferl4bs.

¿Qué es Burp Suite?

Burp Suite, también llamada «la navaja suiza del pentester«, es una herramienta para realizar auditorías de seguridad a aplicaciones Web. Integra diferentes componentes de pentesting y funcionalidades para realizar las pruebas y permite combinar pruebas tanto automáticas como manuales. La herramienta Burp Suite está desarrollada y mantenida por la empresa PortSwigger, y cuenta con dos versiones: Burp Free (gratuita) y Burp Professional (de pago). La versión gratuita se puede encontrar ya instalada en Kali Linux, la distribución de Linux diseñada para auditorías y seguridad informática.

Herramientas de Burp Suite Professional

Entre las principales funcionalidades incluidas en esta herramienta encontramos:

• Target: Permite fijar un objetivo y construir un SiteMap a partir de él. Esta herramienta está disponible en Burp Free.

• Proxy: Es la funcionalidad principal de Burp Suite. Se trata de un proxy entre el navegador e Internet que permite interceptar las peticiones e inspeccionar el tráfico. Esta herramienta está disponible en Burp Free.

• Spider: Se trata de una “araña” que inspecciona las páginas web y recursos de la aplicación de manera automatizada. Esta herramienta está disponible en Burp Free.

• Scanner: Burp Suite cuenta con un escáner avanzado para aplicaciones web. Este escáner nos permite detectar diferentes tipos de vulnerabilidades, tanto de forma pasiva como activa. Esta herramienta está disponible solamente en Burp Professional.

• Intruder: Esta herramienta nos permite automatizar procesos (fuzzing de la aplicación, ataques de fuerza bruta o diccionario, ataques SQLi, XSS, enumeración de usuarios y directorios, etc.). Aunque esta herramienta está disponible para Burp Free, está capada para esta versión y ofrece mucho más potencial en Burp Professional.

• Repeater: Con esta herramienta podremos manipular las peticiones interceptadas, modificando parámetros y cabeceras de las peticiones para después replicarlas nuevamente. Esta herramienta está disponible en Burp Free.

• Secuencer: Nos permite analizar la aleatoriedad de los tokens de sesión. Muy útil para obtener cookies y tokens CSRF por fuerza bruta. Esta herramienta está disponible en Burp Free.

• Decoder: Esta herramienta nos permite codificar y decodificar parámetros, URLs, hashes, etc. Esta herramienta está disponible en Burp Free.

• Comparer: Para comparar los datos de peticiones y respuestas. Esta herramienta está disponible en Burp Free.

• Extender: Extender nos permite instalar innumerables extensiones para ampliar las funcionalidades de Burp Suite. Por tanto, esta funcionalidad dota a Burp Suite de muchísima potencia.

Entorno de pruebas

En mi caso, para todas las pruebas que realizaré para esta serie de tutoriales, usaré un entorno de pruebas llamado Damn Vulnerable Web Application. Se trata de una aplicación web plagada de vulnerabilidades de seguridad (con diferentes niveles de dificultad) para poder practicar técnicas de hacking. Podéis desplegarla en un servidor local con Xampp, por ejemplo, o en algún otro servidor al que tengáis acceso legal. De esta forma, podréis probar la herramienta y seguir los pasos del tutorial de forma segura y sin molestar a nadie.

Y hasta aquí la pequeña introducción a Burp Suite. Como siempre, cualquier sugerencia o consulta podéis hacérmela llegar enviando un correo electrónico a sugerencias@manusoft.es o dejando un comentario en la entrada. ¡Muchas gracias por visitar ManuSoft.es!