Burp Suite es un conjunto de herramientas basada en java que nos permite comprobar la seguridad de aplicaciones web. Esta suite consiste en un servidor proxy para analizar las peticiones, un rastreador web y también un test de intrusión. Burp Suite se ha actualizado a la versión 1.6 incorporando múltiples mejoras que os contamos a continuación.
¿Cómo funciona Burp Suite?
Cuando utilizamos el servidor Proxy y configuramos el navegador para funcionar con ello, es posible tener control total sobre el tráfico intercambiado entre el servidor web y el navegador web. Burp Suite permite manipular los datos antes de enviarlos al servidor web, todo se hace de forma gráfica a través de una interfaz muy fácil de entender. Con esta funcionalidad se podrán reproducir bugs y vulnerabilidades del sitio web.
Si utilizamos el «Spider» o también conocido como rastreador, podremos crear un mapa de cómo está estructurada la página web, examina las cookies y también inicia la conexión a las aplicaciones web del servidor.
El «intruder» nos permite automatizar ataques contra las páginas web bajo el protocolo HTTP, también proporciona una herramienta para generar solicitudes maliciosas HTTP como SQL injection o XSS y podremos hacer ataques de fuerza bruta contra usuarios del servicio. Por último, incorpora un repetidor para modificar las respuestas del servidor y reenviárselas observando los resultados, un “sequencer tool” para ver la aleatoriedad de los tokens de sesión (sesión ID).
¿Qué hay de nuevo en la versión Burp Suite 1.6?
Las nueva versión incorpora soporte para mensajes a través de WebSockets, certificados SSL de tipo PKCS#11 que están en tarjetas inteligentes o tokens físicos. Incorpora la herramienta «Extender» para hacer cargas y descargas dinámicas de múltiples extensiones, en esta nueva versión es compatible con extensiones escritas en lenguaje Python y Ruby.
El resto de características son:
- Una opción para resolver consultas DNS sobre un servidor proxy SOCKS configurado, permitiendo el acceso a la red TOR.
- Facilidad para instalar extensiones escritras por otros usuarios de Burp Suite gracias a BApp Store.
- Nuevas opciones de configuración SSL.
- Nuevas reglas para interceptar tráfico en el proxy y para buscar y reemplazar reglas.
- SSL pass-through para evitar que se rompa el túnel SSL en algunos dominios.
Tenéis toda la información sobre Burp Suite 1.6 en la página web oficial, donde también podéis descargar de manera gratuita esta gran herramienta. También tiene una versión de pago con mayores funcionalidades, en la distribución Kali Linux podéis encontrar esta herramienta de forma predeterminada.