LabEx
EntrarÚnete

Explora la Interfaz de Usuario en Burp Suite

Beginner
Practicar Ahora

Introducción

Burp Suite es una plataforma potente y popular para realizar pruebas de seguridad de aplicaciones web. Consiste en un conjunto de herramientas integradas que trabajan juntas para dar soporte a todo el proceso de pruebas, desde el mapeo inicial y el análisis de la superficie de ataque de una aplicación hasta la búsqueda y explotación de vulnerabilidades de seguridad.

Antes de poder utilizar Burp Suite de manera efectiva para pruebas de seguridad, primero debe familiarizarse con su interfaz de usuario (UI). En este laboratorio, lanzará Burp Suite y realizará un recorrido guiado por sus pestañas y características principales. Este conocimiento fundamental es esencial para todos los laboratorios futuros que involucren pruebas de penetración de aplicaciones web.

Revisar el Panel de Control y el Registro de Eventos

En este paso, lanzará Burp Suite y explorará el Panel de Control principal, que sirve como centro neurálgico para sus actividades de prueba.

Primero, abra una terminal en su entorno LabEx. El archivo JAR de Burp Suite ya se ha descargado en su directorio ~/project. Utilice el siguiente comando para iniciar la aplicación. Tenga en cuenta que puede tardar un momento en cargarse.

java -jar burpsuite_community.jar

Aparecerá un cuadro de diálogo preguntando sobre los archivos del proyecto. Para este laboratorio, utilizaremos un proyecto temporal. Simplemente acepte la selección predeterminada y haga clic en Next.

Puede aparecer otro cuadro de diálogo preguntando sobre la configuración predeterminada. Haga clic en Start Burp para continuar.

Una vez que Burp Suite se cargue, verá la ventana principal. La primera pestaña que verá es el Dashboard (Panel de Control).

El Panel de Control está dividido en cuatro cuadrantes principales:

  • Tasks (Tareas): Esto le permite ejecutar escaneos predefinidos y otras tareas automatizadas.
  • Event log (Registro de eventos): Esto proporciona un registro continuo de todos los eventos significativos que ocurren dentro de Burp Suite, como el inicio del proxy o el descubrimiento de nuevos problemas.
  • Issue activity (Actividad de problemas): Esto muestra un flujo en tiempo real de los problemas de seguridad identificados por Burp Scanner.
  • Advisory (Asesoramiento): Esta sección proporciona detalles y consejos de remediación para los problemas de seguridad seleccionados.

Tómese un momento para observar el Event log (Registro de eventos). Debería ver entradas que indiquen que el servicio proxy se ha iniciado y que la aplicación está lista. Este registro es muy útil para la resolución de problemas y para comprender lo que Burp está haciendo en segundo plano.

Examinar la Pestaña Target y el Mapa del Sitio

En este paso, explorará la pestaña Target (Objetivo), que se utiliza para definir el alcance de su trabajo y ver un mapa detallado de la estructura de la aplicación objetivo.

En la ventana de Burp Suite, haga clic en la pestaña Target ubicada en la parte superior de la interfaz.

Esta pestaña es crucial para organizar sus esfuerzos de prueba. Tiene dos sub-pestañas principales en el lado izquierdo:

  • Site map (Mapa del sitio): Esta vista proporciona una representación jerárquica en árbol del contenido de la aplicación objetivo. A medida que navega por la aplicación a través del Proxy de Burp, este mapa se poblará automáticamente con todas las URL y recursos que descubra. Dado que aún no hemos navegado por ningún sitio, esta área estará mayormente vacía.
  • Scope (Alcance): Esta sub-pestaña le permite definir exactamente qué hosts y URL forman parte del alcance de sus pruebas. Cualquier elemento "dentro del alcance" será procesado por las herramientas de Burp, mientras que los elementos "fuera del alcance" generalmente se ignoran. Esto es esencial para enfocar sus pruebas y evitar interacciones no deseadas con otros sitios web.

Haga clic en ambas sub-pestañas, Site map y Scope, para familiarizarse con su diseño. Comprender cómo gestionar el alcance de su objetivo es una habilidad fundamental para utilizar Burp Suite de manera efectiva.

Comprender las Vistas de Interceptación e Historial de la Pestaña Proxy

En este paso, examinaremos la pestaña Proxy, que contiene una de las herramientas principales de Burp Suite. El Proxy de Burp actúa como un intermediario (man-in-the-middle), permitiéndole interceptar, inspeccionar y modificar todo el tráfico entre su navegador y la aplicación web objetivo.

Haga clic en la pestaña Proxy.

Verá varias sub-pestañas. Las dos más importantes por ahora son:

  • Intercept (Interceptar): Este es el centro de control para interceptar el tráfico. Cuando el botón Intercept is on (Interceptar está activado) está activo, Burp pausará cualquier solicitud y respuesta HTTP/S coincidente, permitiéndole verlas y editarlas antes de que se envíen a su destino. Esto es increíblemente potente para las pruebas manuales. Haga clic en el botón para alternar entre Intercept is on e Intercept is off (Interceptar está desactivado) para ver cómo cambia. Por ahora, déjelo desactivado.
  • HTTP history (Historial HTTP): Esta sub-pestaña proporciona un registro completo de cada solicitud HTTP que ha pasado por el proxy. Para cada solicitud, puede ver la solicitud y respuesta completas, encabezados, parámetros y más. Este historial es un recurso invaluable para comprender cómo funciona una aplicación y para encontrar posibles vulnerabilidades.

También hay una pestaña WebSockets history (Historial de WebSockets) para registrar el tráfico de WebSockets, que es utilizado por las aplicaciones modernas en tiempo real. Por ahora, concéntrese en comprender la función de las vistas de Interceptación e Historial HTTP.

Localizar las Pestañas Repeater e Intruder

En este paso, encontrará dos herramientas más esenciales para pruebas manuales y automatizadas: Repeater (Repetidor) e Intruder (Intruso).

Primero, haga clic en la pestaña Repeater.

Burp Repeater es una herramienta simple pero potente para manipular y reenviar manualmente solicitudes HTTP individuales. Puede enviar una solicitud desde otra herramienta de Burp (como el historial del Proxy) a Repeater, modificar cualquier parte de ella (por ejemplo, un parámetro o encabezado) y enviarla una y otra vez. Esto es perfecto para probar la lógica de la aplicación, validar hallazgos y realizar ataques manuales detallados. La interfaz está dividida, mostrando la solicitud a la izquierda y la respuesta a la derecha.

A continuación, haga clic en la pestaña Intruder.

Burp Intruder es una herramienta altamente configurable para automatizar ataques personalizados. Su uso principal es para "fuzzing" (pruebas de fuzzing), que implica enviar un gran número de solicitudes con datos modificados para sondear vulnerabilidades. Puede usarla para tareas como fuerza bruta de contraseñas, enumeración de identificadores o búsqueda de fallos de inyección SQL. Intruder funciona definiendo una plantilla de solicitud, marcando posiciones para los payloads (cargas útiles) y luego configurando conjuntos de payloads y tipos de ataque.

Tómese un momento para observar las interfaces de Repeater e Intruder para tener una idea de su propósito y diseño.

Encontrar la Pestaña Extender para BApp Store y Extensiones

En este último paso de nuestro recorrido, explorará la pestaña Extender, que le permite ampliar las capacidades de Burp Suite con extensiones.

Haga clic en la pestaña Extender.

Esta área es el centro para gestionar las extensiones de Burp Suite, que son complementos que pueden introducir nueva funcionalidad o integrarse con otras herramientas. Las sub-pestañas principales aquí son:

  • Extensions (Extensiones): Esta lista muestra todas las extensiones que están actualmente cargadas en Burp. Puede añadir, eliminar y configurar sus extensiones desde aquí.
  • BApp Store: Este es el repositorio oficial de extensiones de Burp, escritas por la comunidad y el personal de PortSwigger. Puede navegar por la tienda, ver detalles sobre cada extensión e instalarlas directamente en Burp con un solo clic.
  • APIs: Esta sub-pestaña proporciona documentación para desarrolladores que desean escribir sus propias extensiones utilizando Java, Python o Ruby.
  • Settings (Configuración): Aquí puede configurar ajustes relacionados con los entornos Java, Python y Ruby para ejecutar extensiones.

Navegue por la BApp Store para ver la gran variedad de extensiones disponibles. Esta extensibilidad es una de las razones clave de la popularidad de Burp Suite.

Resumen

En este laboratorio, lanzó con éxito Burp Suite y completó un recorrido completo de su interfaz de usuario. Ahora está familiarizado con el propósito y la disposición de las pestañas más importantes:

  • Dashboard (Panel): El centro para monitorear tareas, eventos y problemas.
  • Target (Objetivo): Para definir el alcance y ver el mapa del sitio de la aplicación.
  • Proxy: Para interceptar y registrar el tráfico HTTP/S.
  • Repeater (Repetidor): Para modificar y reenviar manualmente solicitudes individuales.
  • Intruder (Intruso): Para automatizar ataques personalizados y fuzzing.
  • Extender (Extensor): Para gestionar extensiones y ampliar la funcionalidad de Burp a través de la BApp Store.

Con esta comprensión fundamental de la interfaz de usuario de Burp Suite, ahora está preparado para abordar laboratorios más avanzados que implican pruebas activas de seguridad de aplicaciones web.