it-swarm-es.com

¿Dónde puedo encontrar un tutorial sólido de BURP?

Estoy buscando un buen recurso para aprender/configurar BURP. Entiendo los conceptos detrás del uso del marco, y he leído los documentos en el sitio, pero si alguien tiene un enlace tutorial sólido, me encantaría verlo. Hubiera hecho de esto un wiki, pero no estoy buscando compilar un recurso grande, solo quiero un par de enlaces sólidos y cerraré la pregunta.

También se agradecen los enlaces a configuraciones de BURP preconfiguradas.

Para especificar un poco más, estoy particularmente interesado en la configuración ideal para el spidering manual, ya que prefiero el sigilo y la capacidad de control frente a la inundación de toneladas de páginas.

20
mrnap

Junto con consejos sobre cómo usar Burp, no debes olvidar personalizar lo siguiente:

Presentación del formulario:

Para establecer nombres y valores adecuados para los formularios enviados por Burp, ya que presumo que no desea enviar 'Weiner' :-)

Dentro de la ventana Eructo, vaya a la pestaña 'Araña' y luego al menú 'opciones'. Desde aquí, debe actualizar los valores estándar dentro de la sección de formularios:

Form

Haga clic en cada valor y seleccione 'editar', cambie el valor y luego haga clic en el campo 'actualizar' antes de seleccionar el siguiente valor:

Update

Carga útil:

También puede editar las cargas útiles predeterminadas que se utilizan en Burp. Esto se puede hacer desempacando el archivo .jar. Este ejemplo usa 7Zip para descomprimir el último archivo Burp.

Primero haga clic derecho en el archivo .jar y seleccione abrir con 7Zip. Esto mostrará:

7Zip

Entonces abre burp\PayloadStrings\:

strings

Desde esta carpeta, seleccione fuzzing - full.pay. Dentro de este archivo, verá opciones que se pueden configurar según sus necesidades específicas (resaltadas en la siguiente imagen):

payload

Araña:

Para spidering manual, la página de ayuda de Burps tiene los siguientes consejos:

araña pasiva mientras navega - Si está marcada, Burp Spider procesará todas las solicitudes HTTP realizadas a través de Burp Proxy, para identificar enlaces y formularios en las páginas web visitadas. El uso de esta opción puede permitir que Burp Spider construya una imagen detallada del contenido de una aplicación incluso cuando solo haya navegado un subconjunto de ese contenido con su navegador, porque todo el contenido vinculado desde el contenido visitado se agrega automáticamente al mapa del sitio de Suite.

Esto se hace visitando la pestaña 'Araña' y luego seleccionando la pestaña 'opciones':

spider

De esta manera, usted controla la generación del mapa del sitio sin inundar el Host con tráfico.

Espero que esto ayude.

15
David Stubley

Absolutamente lea el Manual de piratas informáticos de aplicaciones web de Portswigger (autor de Burp), que está escrito como una introducción a los conceptos relevantes para la reversión/piratería de aplicaciones web, pero también como una guía paso a paso para aplicar esos conceptos con Burp Suite.

Tenga en cuenta que la segunda edición ya está disponible.

8
jcran

Una buena secuencia de tutoriales que he visto está en el sitio Security Ninja . Los enlaces obtuvieron el último de la serie (se enfoca en la pestaña del escáner) pero hay enlaces a los otros desde esa página.

6
Rory McCune

Este de SalesForce parece estar bien, un poco básico si ha usado eructar antes.

2
Rory Alsop

En la versión 1.5, Burp contiene una sólida ayuda incorporada que se puede utilizar como tutorial. Es accesible a través de Help -> Burp Suite Help

0
Andrei Botalov