En esta clase vamos a aprender cómo utilizar la herramienta burpsuite, una de las más populares y potentes para realizar pruebas de penetración web. Vamos a ver qué es burpsuite, para qué se utiliza, cómo configurarlo y algunos ejemplos prácticos de su uso en el laboratorio Metasploitable2 que instalamos en anteriores clases.
¿Qué es BurpSuite?
BurpSuite es una suite integral que permite interceptar, analizar, modificar y repetir peticiones y respuestas entre un navegador web y un servidor. Esta herramienta no solo facilita la auditoría de seguridad web, sino que también habilita la identificación y explotación de vulnerabilidades presentes en aplicaciones web. Con componentes como proxy, repeater, intruder, scanner, sequencer, decoder, comparer y extender.
Configuración de BurpSuite
Para comenzar a utilizar BurpSuite, se requiere configurar el navegador web para que utilice su proxy como intermediario entre el cliente y el servidor. Esto permite interceptar y modificar el tráfico HTTP/HTTPS.
Para configurarlo, vamos a instalar el marcador FoxyProxy y lo configuraremos por el puerto 8080 que es el puerto por defecto que tiene BurpSuite. Para más detalle, puedes ver todo el proceso en la clase.
Ejemplos prácticos con BurpSuite en Metasploitable2
En esta clase, vemos cómo hacer ataques de fuerza bruta, el uso básico de la interceptación de peticiones y un ejemplo haciendo una inyección SQL.