Enviar una Solicitud a Repeater en Burp Suite

Introducción

Burp Suite es un conjunto de herramientas esencial para la prueba de seguridad de aplicaciones web. Una de sus características más potentes es la herramienta Repeater, que le permite editar manualmente y reenviar solicitudes HTTP individuales, y analizar la respuesta de la aplicación. Esto es invaluable para probar vulnerabilidades, confirmar hallazgos y comprender la lógica de la aplicación.

En este laboratorio, aprenderá el flujo de trabajo básico pero crucial de enviar una solicitud desde el historial del Proxy de Burp a la herramienta Repeater. Este es el primer paso para realizar cualquier manipulación manual de solicitudes.

Navegar a una Aplicación de Destino

En este paso, iniciará Burp Suite y navegará a una aplicación web sencilla. Esta acción generará tráfico HTTP que el Proxy de Burp puede interceptar y registrar.

Primero, iniciemos Burp Suite. Puede encontrarlo en el menú de aplicaciones o buscándolo. Una vez abierto, seleccione la opción de proyecto temporal y haga clic en "Next" (Siguiente), luego en "Start Burp" (Iniciar Burp).

A continuación, abra el navegador web proporcionado en el entorno del laboratorio. El navegador ya está configurado para enviar su tráfico a través del proxy de Burp Suite.

Navegue a la aplicación de destino introduciendo la siguiente URL en la barra de direcciones del navegador:

http://127.0.0.1:8000

Debería ver una página de bienvenida sencilla. Esta interacción ha sido registrada por Burp Suite.

Buscar una Solicitud en la Pestaña Proxy > Historial HTTP

En este paso, encontrará la solicitud que acaba de realizar en el historial del Proxy de Burp Suite. Cada solicitud que pasa por el proxy se registra aquí, proporcionando un registro completo de su actividad de navegación.

Cambie su enfoque del navegador a la ventana de Burp Suite.

1. Haga clic en la pestaña Proxy en la parte superior.
2. Dentro de la pestaña Proxy, haga clic en la sub-pestaña HTTP history (Historial HTTP).

Verá una tabla que enumera todas las solicitudes HTTP que su navegador ha realizado. Busque la solicitud a su aplicación de destino. Tendrá 127.0.0.1 en la columna Host (Host) y / en la columna URL (URL).

##   Host          Method  URL   Params  Edited  Status  ...
----------------------------------------------------------
1   127.0.0.1     GET     /     No      No      200     ...
2   ...           ...     ...   ...     ...     ...     ...

Haga clic en esta solicitud en la tabla para seleccionarla. Verá los detalles completos de la solicitud y la respuesta en los paneles debajo de la tabla.

Hacer Clic Derecho en la Solicitud

En este paso, abrirá el menú contextual para la solicitud seleccionada. Este menú es la forma principal de interactuar con las solicitudes y enviarlas a otras herramientas de Burp Suite para un análisis posterior.

Con la solicitud GET / a 127.0.0.1 aún seleccionada en la tabla HTTP history (Historial HTTP), haga clic derecho en cualquier parte de esa línea.

Aparecerá un menú contextual grande. Este menú contiene una amplia variedad de acciones que puede realizar sobre la solicitud, como:

• Send to Repeater (Enviar a Repeater)
• Send to Intruder (Enviar a Intruder)
• Send to Sequencer (Enviar a Sequencer)
• Do an active scan (Realizar un escaneo activo)
• Save item (Guardar elemento)

Para este laboratorio, nos interesa la opción Send to Repeater (Enviar a Repeater).

Seleccionar 'Send to Repeater' del Menú Contextual

En este paso, ejecutará la acción para enviar la solicitud capturada a la herramienta Burp Repeater.

Con el menú contextual aún abierto, mueva el cursor del ratón sobre la opción Send to Repeater (Enviar a Repeater) y haga clic en ella.

Alternativamente, puede usar el atajo de teclado. Con la solicitud seleccionada, simplemente presione Ctrl+R.

Esta acción no mueve la solicitud; la copia. La solicitud original permanecerá en su registro de historial de Proxy. Ahora hay una copia en cola en la herramienta Repeater, lista para que trabaje con ella. Es posible que note que la pestaña Repeater en la parte superior de la ventana de Burp Suite ha cambiado de color (por ejemplo, a naranja) para indicar que ha recibido un nuevo elemento.

Verificar que la Solicitud Aparece en una Nueva Pestaña de Repeater

En este paso, navegará a la herramienta Repeater y confirmará que la solicitud ha llegado correctamente.

Haga clic en la pestaña principal Repeater en la parte superior de la ventana de Burp Suite.

Verá la interfaz de Repeater, que está dividida en dos paneles principales:

• Panel de Solicitud (Izquierdo): Este panel contiene la solicitud HTTP sin procesar que acaba de enviar. Puede ver la línea GET / HTTP/1.1, la cabecera Host: 127.0.0.1:8000 y otras cabeceras de solicitud. Todo este panel es editable.
• Panel de Respuesta (Derecho): Este panel está inicialmente vacío. Mostrará la respuesta del servidor después de que envíe la solicitud.

Confirme que los detalles de la solicitud en el panel izquierdo coinciden con la solicitud que seleccionó en el historial de Proxy. Para completar el ciclo, haga clic en el botón Send (Enviar) ubicado en la parte superior del panel de solicitud. La respuesta del servidor aparecerá entonces en el panel derecho.

Ahora ha movido con éxito una solicitud del Proxy a Repeater, lista para pruebas manuales.

Resumen

En este laboratorio, ha aprendido una habilidad fundamental para usar Burp Suite de manera efectiva. Capturó con éxito una solicitud HTTP utilizando el Proxy, la localizó en el historial HTTP y la envió a la herramienta Repeater para su análisis manual.

Este flujo de trabajo —Proxy a Repeater— es la base para innumerables pruebas de seguridad web, lo que le permite manipular solicitudes sobre la marcha para sondear vulnerabilidades como inyección SQL, Cross-Site Scripting (XSS) y referencias a objetos directos inseguras. ¡Felicitaciones por completar este paso esencial para dominar Burp Suite!