Cuando se trata de probar la seguridad de las aplicaciones web, le resultará difícil encontrar un conjunto de herramientas mejor que Burp Suite de seguridad web Portswigger. Le permite interceptar y monitorear el tráfico web junto con información detallada sobre las solicitudes y respuestas hacia y desde un servidor.
Hay demasiadas funciones en Burp Suite para cubrirlas en una sola guía, por lo que esta se dividirá en cuatro partes. Esta primera parte cubrirá la configuración de Burp Suite y su uso como proxy para Firefox. El segundo cubrirá cómo recopilar información y usar el proxy de Burp Suite. La tercera parte se adentra en un escenario de prueba realista utilizando información recopilada a través del proxy de Burp Suite. La cuarta guía cubrirá muchas de las otras funciones que ofrece Burp Suite.
En esta guía, practicará el uso de Burp Suite en una instancia autohospedada de WordPress. Si necesita ayuda para configurarlo, consulte su guía de Debian.
Burp Suite viene instalado de forma predeterminada en Kali Linux, por lo que no debe preocuparse por instalarlo. De hecho, es una de las aplicaciones en la lista de favoritos en un CD en vivo de Kali.
Ábralo y haga clic en los menús de apertura. Simplemente use los valores predeterminados. Hay una cierta profundidad de configuración a la que puede acceder Burp Suite, pero no es necesario para esta guía o uso básico.
Configurar Firefox
Burp Suite contiene un proxy de interceptación. Para usar Burp Suite, debe configurar un navegador para pasar su tráfico a través del proxy de Burp Suite. Esto no es demasiado difícil de hacer con Firefox, que es el navegador predeterminado en Kali Linux.
Abra Firefox y haga clic en el botón de menú para abrir el menú de configuración de Firefox. En el menú, haga clic en "Preferencias". Esto abrirá la pestaña "Preferencias" en Firefox. En el extremo izquierdo de la pestaña hay otra lista de menú. Haga clic en la última opción, "Avanzado". En la parte superior de la pestaña "Avanzado" hay un nuevo menú. Haga clic en la opción "Red" en el centro. En la sección "Red", haga clic en el botón superior etiquetado como "Configuración..." Eso abrirá la configuración del proxy de Firefox.
Hay una serie de opciones integradas en Firefox para manejar proxies. Para esta guía, seleccione el botón de opción "Configuración manual de proxy:". Esto abrirá una serie de opciones que le permitirán ingresar manualmente la dirección IP y el número de puerto de su proxy para cada uno de los protocolos. De forma predeterminada, Burp Suite se ejecuta en el puerto 8080 , y dado que está ejecutando esto en su propia máquina, ingrese 127.0.0.1 como la IP. Su principal preocupación será HTTP, pero puede marcar la casilla marcada, "Usar este servidor proxy para todos los protocolos", si se siente perezoso.
Debajo de las otras opciones de configuración manual hay un cuadro que le permite escribir exenciones para el proxy. Firefox agrega tanto el nombre, localhost , así como la IP, 127.0.0.1 , a este campo. Elimínelos o modifíquelos, ya que estará monitoreando el tráfico entre su navegador y una instalación de WordPress alojada localmente.
Con Firefox configurado, puede proceder a configurar Burp e iniciar el proxy.
Configuración del proxy
El proxy debe estar configurado de forma predeterminada, pero solo tómese un segundo para verificarlo dos veces. Si desea cambiar la configuración en el futuro, lo haría siguiendo el mismo método.
En la ventana de Burp Suite, haga clic en "Proxy" en la fila superior de pestañas, luego en "Opciones" en el nivel inferior. La sección superior de la pantalla debe decir "Proxy Listeners" y tener un cuadro con el localhost IP y puerto 8080 . Junto a él, a la izquierda, debe haber una casilla marcada en la columna "En ejecución". Si eso es lo que ve, está listo para comenzar a capturar tráfico con Burp Suite.
Pensamientos finales
En este punto, Burp Suite se ejecuta como un proxy para Firefox y está listo para comenzar a usarlo para capturar información proveniente de Firefox en su instalación de WordPress alojada localmente.
En la siguiente guía, capturará esa información y aprenderá a leerla y dividirla en piezas utilizables. La cantidad de información que Burp Suite puede recopilar es bastante sorprendente y abre un mundo de nuevas posibilidades para probar sus aplicaciones web.