LabEx
EntrarJunte-se

Use o Navegador Embarcado no Burp Suite

Beginner
Pratique Agora

Introdução

O Burp Suite é uma plataforma poderosa para realizar testes de segurança em aplicações web. Uma de suas funcionalidades principais é o seu servidor proxy, que se posiciona entre o seu navegador e a aplicação alvo, permitindo interceptar, inspecionar e modificar o tráfego.

Tradicionalmente, o uso de um proxy exigia a configuração manual das definições de rede do seu navegador web. Este processo pode ser tedioso e, por vezes, entra em conflito com outras definições de sistema ou rede. Para otimizar este fluxo de trabalho, o Burp Suite inclui um navegador embarcado. Este é um navegador Chromium pré-configurado que é lançado a partir do Burp Suite e está automaticamente configurado para usar o Proxy do Burp.

Neste laboratório, você aprenderá como lançar e usar o navegador embarcado do Burp Suite para capturar tráfego web sem qualquer configuração manual.

Nesta etapa, você iniciará o Burp Suite e navegará para a aba principal usada para interceptar tráfego.

Primeiro, localize o ícone do Burp Suite Community Edition na área de trabalho e dê um duplo clique nele para iniciar a aplicação.

Uma caixa de diálogo intitulada "Burp Suite Community Edition" aparecerá. Ela pode mencionar que uma nova versão está disponível; você pode ignorar isso. A caixa de diálogo "Project" também aparecerá. Usaremos um projeto temporário para este laboratório.

  1. Na caixa de diálogo "Select project", deixe Temporary project selecionado e clique em Next.
  2. Na caixa de diálogo "Select configuration", deixe Use Burp defaults selecionado e clique em Start Burp.

Após um momento, a janela principal do Burp Suite será aberta. A interface é organizada em várias abas na parte superior. Para este laboratório, estamos interessados na aba Proxy.

Clique na aba Proxy. Por padrão, ela abrirá em sua própria sub-aba, Intercept. Esta é a tela onde você pode visualizar e modificar requisições e respostas HTTP/S ao vivo à medida que elas passam pelo proxy.

Certifique-se de que você está na aba Proxy > Intercept antes de prosseguir para a próxima etapa.

Clicar no Botão 'Open Browser'

Nesta etapa, você iniciará o navegador embarcado do Burp.

Com a aba Proxy > Intercept visível, você verá vários botões. Um deles é rotulado como Open Browser. Este botão é a chave para usar a funcionalidade do navegador embarcado.

Clicar neste botão iniciará uma nova instância do navegador Chromium que é isolada (sandboxed) e pré-configurada para rotear todo o seu tráfego através da instância do proxy do Burp Suite em execução em 127.0.0.1:8080.

Agora, clique no botão Open Browser.

Após clicar no botão na etapa anterior, uma nova janela do navegador deverá aparecer na sua tela.

Este é o navegador embarcado do Burp. Note que ele se parece com um navegador Chromium padrão, mas é executado como um processo separado gerenciado pelo Burp Suite.

A coisa mais importante a entender é que este navegador já está configurado para proxy. Você não precisou acessar nenhum menu de configurações, encontrar configurações de proxy, ou digitar um endereço IP e número de porta. Ele funciona imediatamente, enviando todo o seu tráfego diretamente para o Burp Suite para interceptação e registro. Isso economiza tempo e previne erros de configuração.

Reserve um momento para se familiarizar com esta nova janela do navegador. Você a usará na próxima etapa para navegar até um site alvo.

Nesta etapa, você usará o navegador embarcado para visitar um site e ver como o Burp Suite intercepta o tráfego.

Por padrão, a interceptação está ativada no Burp Suite. Isso significa que qualquer requisição que você fizer será pausada no Burp Suite, aguardando sua aprovação para prosseguir. Para este teste inicial, vamos desativar a interceptação para ver o log de tráfego ser preenchido.

  1. Volte para a janela principal do Burp Suite. Na aba Proxy > Intercept, você verá um botão que diz Intercept is on. Clique nele uma vez para desativar a interceptação. O texto do botão mudará para Intercept is off.

  2. Agora, volte para a janela do navegador Chromium embarcado que você abriu anteriormente.

  3. Na barra de endereços do navegador embarcado, digite a seguinte URL e pressione Enter:

    http://portswigger.net

Como a interceptação está desativada, a requisição passará pelo proxy sem pausar, e o site da PortSwigger deverá carregar no navegador.

Nesta etapa final, você verá a prova de que o tráfego do navegador embarcado foi devidamente encaminhado pelo Burp Suite.

Navegue de volta para a janela principal do Burp Suite. Dentro da aba Proxy, existem várias sub-abas. Clique na que se chama HTTP history.

A aba HTTP history exibe um log de todas as requisições HTTP que passaram pelo Burp Proxy. Você deverá agora ver uma lista de requisições, incluindo várias para o host portswigger.net. Você pode clicar em qualquer uma dessas entradas para ver a requisição e resposta completas nos painéis abaixo.

Isso confirma que o navegador embarcado funcionou como esperado. Você o lançou com sucesso, navegou até um site e capturou o tráfego resultante no Burp Suite, tudo isso sem realizar nenhuma configuração manual de proxy no navegador. Essa integração perfeita é um recurso chave que torna o Burp Suite eficiente e fácil de usar.

Resumo

Neste laboratório, você aprendeu uma das funcionalidades mais fundamentais e convenientes do Burp Suite: o navegador embarcado.

Você com sucesso:

  • Iniciou o Burp Suite e navegou até a aba Proxy.
  • Abriu o navegador Chromium embarcado com um único clique.
  • Usou o navegador para navegar até um site.
  • Verificou que o tráfego foi automaticamente registrado no histórico HTTP do Proxy sem qualquer configuração manual.

Usar o navegador embarcado é a forma recomendada de trabalhar com o Burp Suite, pois garante um ambiente de navegação limpo e isolado, que tem a garantia de estar corretamente configurado para proxy. Essa habilidade é essencial para realizar testes de segurança de aplicações web de forma eficiente.