Enviar uma Requisição para o Repeater no Burp Suite

Introdução

O Burp Suite é um conjunto de ferramentas essencial para testes de segurança de aplicações web. Uma das suas funcionalidades mais poderosas é a ferramenta Repeater, que permite editar manualmente e reenviar requisições HTTP individuais, e analisar a resposta da aplicação. Isto é inestimável para testar vulnerabilidades, confirmar descobertas e compreender a lógica da aplicação.

Neste laboratório, aprenderá o fluxo de trabalho básico, mas crucial, de enviar uma requisição do histórico do Proxy do Burp para a ferramenta Repeater. Este é o primeiro passo para realizar qualquer manipulação manual de requisições.

Navegar para uma Aplicação Alvo

Nesta etapa, irá iniciar o Burp Suite e navegar para uma aplicação web simples. Esta ação irá gerar tráfego HTTP que o Proxy do Burp pode interceptar e registar.

Primeiro, vamos iniciar o Burp Suite. Pode encontrá-lo no menu de aplicações ou pesquisando por ele. Assim que estiver aberto, selecione a opção de projeto temporário e clique em "Next", depois em "Start Burp".

Em seguida, abra o navegador web fornecido no ambiente de laboratório. O navegador já está configurado para enviar o seu tráfego através do proxy do Burp Suite.

Navegue para a aplicação alvo introduzindo o seguinte URL na barra de endereço do navegador:

http://127.0.0.1:8000

Deverá ver uma página de boas-vindas simples. Esta interação foi agora registada pelo Burp Suite.

Encontrar uma Requisição na Aba Proxy > HTTP History

Nesta etapa, encontrará a requisição que acabou de fazer no histórico do Proxy do Burp Suite. Cada requisição que passa pelo proxy é registada aqui, fornecendo um registo completo da sua atividade de navegação.

Mude o seu foco do navegador para a janela do Burp Suite.

1. Clique na aba Proxy no topo.
2. Dentro da aba Proxy, clique na sub-aba HTTP history.

Verá uma tabela listando todas as requisições HTTP que o seu navegador fez. Procure pela requisição para a sua aplicação alvo. Terá 127.0.0.1 na coluna Host e / na coluna URL.

##   Host          Method  URL   Params  Edited  Status  ...
----------------------------------------------------------
1   127.0.0.1     GET     /     No      No      200     ...
2   ...           ...     ...   ...     ...     ...     ...

Clique nesta requisição na tabela para a selecionar. Verá os detalhes completos da requisição e resposta nos painéis abaixo da tabela.

Clicar com o Botão Direito na Requisição

Nesta etapa, irá abrir o menu de contexto para a requisição selecionada. Este menu é a forma principal de interagir com as requisições e enviá-las para outras ferramentas do Burp Suite para análise adicional.

Com a requisição GET / para 127.0.0.1 ainda selecionada na tabela HTTP history, clique com o botão direito em qualquer lugar dessa linha.

Um menu de contexto grande aparecerá. Este menu contém uma vasta variedade de ações que pode realizar na requisição, tais como:

• Send to Repeater
• Send to Intruder
• Send to Sequencer
• Do an active scan
• Save item

Para este laboratório, estamos interessados na opção Send to Repeater.

Selecionar 'Send to Repeater' do Menu de Contexto

Nesta etapa, irá executar a ação de enviar a requisição capturada para a ferramenta Burp Repeater.

Com o menu de contexto ainda aberto, mova o cursor do seu rato sobre a opção Send to Repeater e clique nela.

Alternativamente, pode usar o atalho de teclado. Com a requisição selecionada, simplesmente pressione Ctrl+R.

Esta ação não move a requisição; ela copia-a. A requisição original permanecerá no seu registo de histórico do Proxy. Uma cópia está agora enfileirada na ferramenta Repeater, pronta para que trabalhe com ela. Poderá notar que a aba Repeater no topo da janela do Burp Suite mudou de cor (por exemplo, para laranja) para indicar que recebeu um novo item.

Verificar se a Requisição Aparece numa Nova Aba do Repeater

Nesta etapa, irá navegar para a ferramenta Repeater e confirmar que a requisição chegou com sucesso.

Clique na aba principal Repeater no topo da janela do Burp Suite.

Verá a interface do Repeater, que está dividida em dois painéis principais:

• Painel de Requisição (Esquerda): Este painel contém a requisição HTTP bruta que acabou de enviar. Pode ver a linha GET / HTTP/1.1, o cabeçalho Host: 127.0.0.1:8000, e outros cabeçalhos de requisição. Todo este painel é editável.
• Painel de Resposta (Direita): Este painel está inicialmente vazio. Irá exibir a resposta do servidor após enviar a requisição.

Confirme que os detalhes da requisição no painel esquerdo correspondem à requisição que selecionou no histórico do Proxy. Para completar o ciclo, clique no botão Send localizado no topo do painel de requisição. A resposta do servidor aparecerá então no painel da direita.

Agora moveu com sucesso uma requisição do Proxy para o Repeater, pronta para testes manuais.

Resumo

Neste laboratório, aprendeu uma habilidade fundamental para usar o Burp Suite de forma eficaz. Capturou com sucesso uma requisição HTTP usando o Proxy, localizou-a no histórico HTTP e enviou-a para a ferramenta Repeater para análise manual.

Este fluxo de trabalho—Proxy para Repeater—é a base para inúmeros testes de segurança web, permitindo manipular requisições em tempo real para sondar vulnerabilidades como SQL injection, Cross-Site Scripting (XSS) e insecure direct object references. Parabéns por completar este passo essencial para dominar o Burp Suite.