LabEx
EntrarÚnete

Configurar SSL Passthrough en Burp Suite

Beginner
Practicar Ahora

Introducción

Burp Suite es una potente plataforma para la prueba de seguridad de aplicaciones web. Una de sus características principales es el proxy de interceptación, que le permite inspeccionar y modificar el tráfico entre su navegador y un servidor web. Sin embargo, a veces es posible que desee evitar que Burp intercepte el tráfico a ciertos hosts. Esto podría ser para evitar romper aplicaciones que utilizan fijación de certificados (certificate pinning), para mejorar el rendimiento ignorando el tráfico de alto volumen de dominios de confianza, o simplemente para centrarse en su aplicación objetivo.

Aquí es donde entra en juego el SSL Passthrough. Esta característica indica a Burp Suite que pase el tráfico cifrado (TLS/SSL) directamente al servidor de destino sin intentar descifrarlo o interceptarlo.

En este laboratorio, aprenderá a configurar una regla de SSL Passthrough en Burp Suite para excluir todos los dominios de Google de la interceptación. El entorno del laboratorio tiene Burp Suite Community Edition preinstalado y el navegador está preconfigurado para usar el proxy de Burp.

Navegar a Proxy > Opciones > SSL Passthrough

En este paso, iniciará Burp Suite y navegará a la configuración de SSL Passthrough. Todas las acciones se llevarán a cabo dentro del entorno de escritorio VNC.

Primero, inicie Burp Suite:

  1. Haga clic en el menú "Applications" en la esquina superior izquierda de la pantalla.
  2. Navegue a Other -> Burp Suite Community Edition.

Aparecerá un cuadro de diálogo. Para este laboratorio, puede usar un proyecto temporal:

  1. Deje seleccionado Temporary project y haga clic en Next.
  2. En la siguiente pantalla, haga clic en Use Burp defaults, luego haga clic en Start Burp.

Una vez que Burp Suite esté abierto, deberá encontrar la configuración de SSL Passthrough.

  1. Haga clic en la pestaña Proxy.
  2. Dentro de la pestaña Proxy, haga clic en la sub-pestaña Options.
  3. Desplácese hacia abajo en la página de opciones hasta que encuentre la sección titulada SSL Passthrough.

Ahora se encuentra en la ubicación correcta para agregar una nueva regla.

Haga clic en 'Add' para crear una nueva regla

En este paso, iniciará el proceso de agregar una nueva regla de SSL Passthrough.

La sección SSL Passthrough le permite especificar destinos para los cuales Burp no realizará la interceptación de TLS. Cualquier solicitud a estos destinos se pasará directamente al servidor, y su contenido no será visible en el historial del proxy.

Para comenzar, localice el botón Add dentro de la sección SSL Passthrough y haga clic en él.

Después de hacer clic en Add, aparecerá un nuevo cuadro de diálogo titulado "Add SSL Passthrough rule". Este diálogo es donde especificará los detalles del host que desea excluir de la interceptación.

Introduzca un nombre de host que no desea interceptar (por ejemplo, *.google.com)

En este paso, definirá el host o dominio específico que se excluirá de la interceptación.

En el cuadro de diálogo "Add SSL Passthrough rule" que abrió en el paso anterior, verá un campo etiquetado como Host or IP range. Aquí es donde introduce el destino que desea omitir.

Puede usar comodines (*) para hacer coincidir todos los subdominios de un dominio particular. Esto es muy útil para servicios grandes como Google, que utilizan muchos subdominios diferentes (por ejemplo, www.google.com, mail.google.com, apis.google.com).

En el campo Host or IP range, escriba el siguiente valor:

*.google.com

Después de introducir el nombre de host, haga clic en el botón OK para guardar la regla. El cuadro de diálogo se cerrará y verá su nueva regla en la lista SSL Passthrough.

Habilite la regla

En este paso, activará la regla de SSL Passthrough recién creada.

Por defecto, cuando agrega una nueva regla, se crea en un estado deshabilitado. Debe habilitarla explícitamente para que surta efecto. Puede ver su nueva regla para *.google.com en la lista, pero la casilla de verificación en la columna Enabled está actualmente desmarcada.

Para habilitar la regla, simplemente haga clic en la casilla de verificación en la columna Enabled junto a la entrada *.google.com.

Una vez que la casilla esté marcada, la regla estará activa. Burp Suite ahora pasará automáticamente cualquier tráfico TLS destinado a cualquier subdominio de google.com sin interceptarlo.

En este paso final, probará la regla de SSL Passthrough navegando a un dominio de Google y observando el historial del proxy.

Primero, navegue al registro del historial del proxy en Burp Suite:

  1. Asegúrese de que todavía está en la pestaña Proxy.
  2. Haga clic en la sub-pestaña HTTP history. Este registro muestra todo el tráfico que pasa por el proxy de Burp.

A continuación, abra el navegador web en el entorno VNC:

  1. Haga clic en el menú "Applications".
  2. Navegue a Internet -> Firefox.

En la barra de direcciones de Firefox, escriba https://www.google.com y presione Enter. La página de inicio de Google debería cargarse normalmente.

Ahora, vuelva a Burp Suite y mire la pestaña HTTP history. Notará que no hay entradas para www.google.com que muestren los detalles de la carga de la página (como GET /, GET /some-image.png, etc.). Es posible que vea una única entrada como CONNECT www.google.com:443, que es la configuración inicial de la conexión, pero los datos de la aplicación cifrados en sí mismos han "pasado" sin ser registrados.

Para confirmar que el proxy todavía funciona para otros sitios, vuelva a Firefox y navegue a http://example.com. Ahora revise el HTTP history en Burp nuevamente. Verá la solicitud y respuesta completas para example.com, lo que demuestra que su regla de paso es específica para Google.

Resumen

En este laboratorio, ha configurado y probado con éxito la función SSL Passthrough en Burp Suite.

Ha aprendido a:

  • Navegar a la configuración de SSL Passthrough dentro de las opciones del proxy de Burp Suite.
  • Agregar una nueva regla para excluir un dominio específico, utilizando un comodín (*.google.com) para cubrir todos sus subdominios.
  • Habilitar la regla para hacerla activa.
  • Verificar que la regla está funcionando observando que el tráfico al dominio especificado ya no se intercepta ni se registra en el historial HTTP, mientras que el tráfico a otros dominios no se ve afectado.

Dominar esta función le ayudará a crear un flujo de trabajo más eficiente y enfocado durante sus evaluaciones de seguridad de aplicaciones web.