Burp Suite

Tutorial de Burp Suite IV – Construyendo un objetivo

Ya sabemos qué es Burp Suite, cómo configurar todo lo necesario para usarlo y también cómo interceptar una petición. En esta cuarta entrega del tutorial de Burp Suite vamos a aprender a construir el site map de la aplicación web que estamos auditando. Esto resulta muy útil para descubrir directorios y ficheros alojados en el servidor que pueden estar ocultos o de los que no nos percatamos al navegar por la aplicación. ¡Vamos a ello!

Target Scope

¿Qué es un site map?

Un site map es un fichero XML que contiene una lista del contenido del sitio y cierta información adicional. Este fichero permite realizar una mejor indexación de un sitio web en los principales buscadores. Por ejemplo, el site map de esta web podéis verlo en este enlace.

Construir un site map con Burp Suite

Conocido el concepto de site map, podemos continuar con nuestro aprendizaje de Burp Suite. Para construir un site map con Burp Suite debemos ir a la pestaña “Target”. Una vez ahí debemos ir a la subpestaña “Site map“. Aquí se nos mostrará una lista con todos los dominios a los que vayamos accediendo durante la auditoría.

Burp Suite

Conforme vamos avanzando por el sitio web, la herramienta va construyendo el site map del sitio. En esta subpestaña podremos obtener una visión detallada en forma de árbol de ficheros de la estructura de la web que estamos auditando. De esta forma podremos localizar posibles fugas de información en los recursos, dominios mal configurados o errores no controlados.

Dado que solo nos interesa analizar la web objeto de la auditoría, buscamos el dominio en la lista de la subpestaña “Site map” y hacemos click derecho en él. En el cuadro de opciones que se abre hacemos click en “Add to Scope”.

 

Al hacerlo, nos aparecerá un cuadro emergente en el que nos pregunta si queremos que el proxy de Burp Suite ignore el resto de dominios al interceptar y deje de enviarlos al historial de peticiones interceptadas. Hacemos click en “Yes” para facilitarnos luego el acceso a la información que realmente nos interesa quitando de en medio la basura que el explorador pueda devolvernos.

Burp Suite

Ya hemos configurado Burp Suite para que ignore las peticiones que no pertenezcan al dominio que estamos auditando. El siguiente paso es limpiar el listado de dominios en la subpestaña “Site map“. Para quedarnos solamente con el site map del dominio que estamos analizando, hacemos click en “Filter: Hiding not found items…”. Al hacerlo, se nos abre un nuevo cuadro en el que podemos establecer un filtro para los elementos que aparecen en la lista de la subpestaña “Site map“. Para limpiar la lista de elementos que no nos interesan debemos marcar la casilla “Show only-in-scope-items”.

Burp Suite

Para cerrar el cuadro, volvemos a hacer clic en “Filter: Hiding not found items…”.

Burp Suite

En ese momento, ya podemos ver cómo el listado de dominios se ha reducido a únicamente el que estamos auditando.

Burp Suite

Ahora tenemos dos opciones. Podemos seguir construyendo el site map navegando manualmente por la aplicación web o podemos usar un crawler.

Spider

¿Qué es un spider o crawler?

Un crawler o spider es un programa diseñado para explorar páginas web de forma automática. Partiendo de una URL inicial, el spider analiza la página a la que corresponde la URL, recopila todas las URLs que se encuentran en ella y accede a cada una de esas URLs. Analiza cada una de las páginas correspondientes a esas URLs y busca enlaces a páginas nuevas. Luego accede a estas páginas nuevas, analiza sus enlaces, y así sucesivamente. De esta forma, va construyendo de forma automática el árbol de directorios y ficheros del sitio web.

Construir un site map en Burp Suite de forma automática con el spider

Para construir un site map de forma automática con el spider de Burp Suite simplemente debemos hacer click derecho sobre el dominio del que queremos construir el site map y hacer click en “Spider this host”.

 

Al hacerlo, podremos ver cómo la lista de directorios y ficheros empieza a crecer de forma automática. Mientras se va construyendo el site map de forma automática pueden aparecernos de vez en cuando cuadros emergentes como el de la siguiente imagen:

Burp Suite

Esto indica que el spider ha encontrado un formulario. En el cuadro el spider nos pregunta si queremos darle algunos datos con los que poder rellenarlo para continuar recopilando URLs o si queremos ignorarlo. Si el formulario fuera de inicio de sesión, por ejemplo, al rellenarlo con los datos correctos el spider podría acceder a otras URLs ocultas tras el formulario.

En la subpestaña “Control” de la pestaña “Spider” de Burp Suite podemos ver algo más de información sobre este componente. Aquí también podremos parar la construcción automática del site map haciendo click en “Spider is running”.

Burp Suite

La pestaña “Spider” cuenta además con la subpestaña “Options”. En ella podemos configurar el spider para personalizar un poco su trabajo. Esta subpestaña nos ofrece varias opciones de configuración muy interesantes. Nos permite personalizar la cabecera que va a usar el spider en sus peticiones a la web, indicar los datos a introducir en un posible formulario (separadas por los posibles campos más típicos, como email, nombre, apellidos…) o cómo actuar ante un formulario de inicio de sesión.

Burp Suite

¡Y nada más! Con esto ya sabemos construir un site map con Burp Suite. Además, somo capaces de hacerlo de dos formas diferentes: manual y automática usando un spider o crawler. Igual que con el proxy, recomiendo practicar un rato en la construcción de site maps. Puedes variar las opciones de configuración del spider y así familiarizarte al máximo con esta herramienta tan útil.

Como siempre, cualquier sugerencia o consulta podéis hacérmela llegar enviando un correo electrónico a sugerencias@manusoft.es o dejando un comentario en la entrada. ¡Muchas gracias por visitar ManuSoft.es!

Publicado en Hacking y seguridad, Tutorial de Burp Suite y etiquetado , , , , .

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *