LabEx
EntrarÚnete

Uso del Navegador Integrado en Burp Suite

Beginner
Practicar Ahora

Introducción

Burp Suite es una potente plataforma para realizar pruebas de seguridad de aplicaciones web. Una de sus características principales es su servidor proxy, que se sitúa entre su navegador y la aplicación objetivo, permitiéndole interceptar, inspeccionar y modificar el tráfico.

Tradicionalmente, el uso de un proxy requería la configuración manual de los ajustes de red de su navegador web. Este proceso puede ser tedioso y a veces entra en conflicto con otras configuraciones del sistema o de la red. Para agilizar este flujo de trabajo, Burp Suite incluye un navegador integrado. Se trata de un navegador Chromium preconfigurado que se lanza desde dentro de Burp Suite y está configurado automáticamente para utilizar el Proxy de Burp.

En este laboratorio, aprenderá a lanzar y utilizar el navegador integrado de Burp Suite para capturar tráfico web sin ninguna configuración manual.

En este paso, lanzará Burp Suite y navegará a la pestaña principal utilizada para interceptar tráfico.

Primero, busque el icono de Burp Suite Community Edition en el escritorio y haga doble clic en él para iniciar la aplicación.

Aparecerá un cuadro de diálogo titulado "Burp Suite Community Edition". Puede que mencione que hay una nueva versión disponible; puede ignorarlo. También aparecerá el diálogo "Project". Utilizaremos un proyecto temporal para este laboratorio.

  1. En el diálogo "Select project", deje seleccionada la opción Temporary project y haga clic en Next.
  2. En el diálogo "Select configuration", deje seleccionada la opción Use Burp defaults y haga clic en Start Burp.

Después de un momento, se abrirá la ventana principal de Burp Suite. La interfaz está organizada en varias pestañas en la parte superior. Para este laboratorio, nos interesa la pestaña Proxy.

Haga clic en la pestaña Proxy. Por defecto, se abrirá en su propia sub-pestaña, Intercept. Esta es la pantalla donde puede ver y modificar las solicitudes y respuestas HTTP/S en vivo a medida que pasan por el proxy.

Asegúrese de estar en la pestaña Proxy > Intercept antes de continuar con el siguiente paso.

Hacer clic en el botón 'Open Browser'

En este paso, lanzará el navegador integrado de Burp.

Con la pestaña Proxy > Intercept visible, verá varios botones. Uno de ellos está etiquetado como Open Browser. Este botón es la clave para utilizar la función del navegador integrado.

Al hacer clic en este botón, se iniciará una nueva instancia del navegador Chromium que está aislada (sandboxed) y preconfigurada para enrutar todo su tráfico a través de la instancia del proxy de Burp Suite que se ejecuta en 127.0.0.1:8080.

Ahora, haga clic en el botón Open Browser.

Después de hacer clic en el botón en el paso anterior, debería aparecer una nueva ventana del navegador en su pantalla.

Este es el navegador integrado de Burp. Observe que se parece a un navegador Chromium estándar, pero se ejecuta como un proceso separado gestionado por Burp Suite.

Lo más importante que debe entender es que este navegador ya está configurado para el proxy. No tuvo que ir a ningún menú de configuración, buscar configuraciones de proxy, ni escribir una dirección IP y un número de puerto. Funciona directamente, enviando todo su tráfico directamente a Burp Suite para su interceptación y registro. Esto ahorra tiempo y previene errores de configuración.

Tómese un momento para familiarizarse con esta nueva ventana del navegador. La utilizará en el siguiente paso para navegar a un sitio web de destino.

En este paso, utilizará el navegador integrado para visitar un sitio web y ver cómo Burp Suite intercepta el tráfico.

Por defecto, la interceptación está activada en Burp Suite. Esto significa que cualquier solicitud que realice se pausará en Burp Suite, esperando su aprobación para continuar. Para esta prueba inicial, desactivaremos la interceptación para ver cómo se puebla el registro de tráfico.

  1. Regrese a la ventana principal de Burp Suite. En la pestaña Proxy > Intercept, verá un botón que dice Intercept is on. Haga clic en él una vez para desactivar la interceptación. El texto del botón cambiará a Intercept is off.

  2. Ahora, vuelva a la ventana del navegador Chromium integrado que abrió anteriormente.

  3. En la barra de direcciones del navegador integrado, escriba la siguiente URL y presione Enter:

    http://portswigger.net

Dado que la interceptación está desactivada, la solicitud pasará por el proxy sin pausarse, y el sitio web de PortSwigger debería cargarse en el navegador.

En este paso final, verá la prueba de que el tráfico del navegador integrado se redirigió correctamente a través de Burp Suite.

Navegue de regreso a la ventana principal de Burp Suite. Dentro de la pestaña Proxy, hay varias subpestañas. Haga clic en la que se llama HTTP history.

La pestaña HTTP history muestra un registro de todas las solicitudes HTTP que han pasado por el Proxy de Burp. Ahora debería ver una lista de solicitudes, incluidas varias dirigidas al host portswigger.net. Puede hacer clic en cualquiera de estas entradas para ver la solicitud y respuesta completas en los paneles inferiores.

Esto confirma que el navegador integrado funcionó como se esperaba. Lo lanzó con éxito, navegó a un sitio web y capturó el tráfico resultante en Burp Suite, todo ello sin realizar ninguna configuración manual del proxy del navegador. Esta integración perfecta es una característica clave que hace que Burp Suite sea eficiente y fácil de usar.

Resumen

En este laboratorio, ha aprendido una de las características más fundamentales y convenientes de Burp Suite: el navegador integrado.

Ha logrado con éxito:

  • Lanzar Burp Suite y navegar a la pestaña Proxy.
  • Abrir el navegador Chromium integrado con un solo clic.
  • Utilizar el navegador para navegar a un sitio web.
  • Verificar que el tráfico se registró automáticamente en el historial HTTP del Proxy sin ninguna configuración manual.

El uso del navegador integrado es la forma recomendada de trabajar con Burp Suite, ya que garantiza un entorno de navegación limpio y aislado que está garantizado para estar correctamente configurado para la proxyficación. Esta habilidad es esencial para realizar pruebas de seguridad de aplicaciones web de manera eficiente.