Spidering dirigido por el usuario con Burp es una excelente manera de detectar vulnerabilidades de seguridad en una aplicación web. Una araña es un software que recorre su sitio web, sigue cada enlace y busca la siguiente página que debe visitar. Esto significa que no puede atascarse cuando hay bucles o enlaces faltantes, que es lo que sucedería con un navegador normal como IE o Chrome.
Araña del eructo:
Spidering es una técnica de prueba de seguridad del navegador que requiere el uso de herramientas especiales para seguir todas las rutas posibles a través de la aplicación. Estas herramientas están diseñadas de tal manera que pueden seguir a cada visitante y cada acción del usuario, así como recopilar información útil mientras rastrean.
El primer uso de spidering fue desarrollado por Netscape, que podía seguir cada enlace en las páginas web y capturar toda la información de ellos, tal como lo haría un ser humano con su navegador normal. Este proceso automatizado de recopilación de datos se realiza a través de un mecanismo de software muy inteligente que analiza las páginas web en busca de posibles enlaces y luego crea nuevas requests para ellos. Estas requests se envían al servidor web del sitio web que ha sido identificado y recopila toda la información que puede obtener un proceso de interpretación automatizado.
Hoy en día, los expertos en seguridad y los evaluadores de penetración utilizan comúnmente esta técnica de rastreo para recopilar cualquier información que les interese, como por ejemplo:
- Una evaluación de vulnerabilidad o descubrimiento de vulnerabilidad.
- Explotación de vulnerabilidades.
- Una aplicación de prueba con diferentes cuentas de usuario.
- Recopilación de información desde la API (interfaz de programación de aplicaciones) de un sitio remoto .
La principal ventaja de utilizar esta técnica con eructos es que proporciona tantos detalles como sea posible sobre la aplicación. Esto incluye la recopilación de datos HTTP , URL y otras formas de datos para fines de análisis, prueba e investigación posteriores después de completar su evaluación.
Opciones de araña de eructo:
La herramienta araña de Burp Suite se llama «Intruso». Para utilizar intrusos, debe configurarlos en la pestaña de intrusos de la sección Opciones. Lo primero que debe hacer es especificar un host, un puerto y un protocolo. Después de eso, debe configurar la carga útil del intruso (que se utilizará con fines de ataque). También puede elegir qué tipo de requests desea utilizar: requests GET y POST con la codificación multipart/form-data. Y por último pero no menos importante; la configuración de Intruder consiste en especificar las cargas útiles de Intruder/el contenido de la carga útil de ataque en forma de string, nombre de archivo o URL.
Puntos clave:
- La herramienta de intrusos utiliza requests y respuestas HTTP.
- El complemento Burp se cargará automáticamente en su navegador después de que inicie Burp Intruder, y también está disponible en la pestaña de opciones Intruder.
- El intruso se puede configurar para usar un archivo de carga útil o una string como carga útil de ataque.
- Configuración de la carga útil de Burp Intruder Attack, este botón le permite obtener acceso a las siguientes interfaces que pueden mostrarle lo que sucede cuando el usuario interactúa con la página web: Estado: le muestra si todas las sesiones están conectadas, rotas o interrumpidas. Todas las conexiones: muestra todas las sesiones en «Todas las conexiones». Sesiones: muestra todas las sesiones en «Sesiones».
Publicación traducida automáticamente
Artículo escrito por pittamand3tx y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA