martes, 17 de junio de 2014

Herramientas de Burp Suite

Todos sabemos que Burp Suite está considerada una de las mejores herramientas de auditoría web, pero quizás no nos hayamos parado a analizar el por qué se considera una de las mejores, y no una más.
La mayoría de las veces se suele utilizar Burp Suite con el objetivo claro de parar peticiones web para ver el comportamiento de éstas, y observar que tipo de parámetros y contenidos se están enviado/recibiendo en cada petición. Como puede ser los métodos de envío POST y GET, ver las cabeceras, o el tiempo de respuesta de cada petición.

Sin embargo, Burp Suite esconde un gran número de utilidades y herramientas que muchos de nosotros puede que no conozcamos. Algunas de estas herramientas al igual que algunas de las características más avanzadas, como el scanner, sólo se pueden obtener a través de la versión Pro de pago. Aunque también existen otras herramientas que vienen incluidas con la versión Free, y que no son tan visibles a primera vista.

Como ejemplo, podemos echar un vistazo a la pestaña de Extender>BApp Sotre donde podemos encontrar un surtido de aplicaciones (plugin) que podremos instalar, y complementar así burp Suite.

Imagen 1: Burp Suite App Store

Por comentar el beneficio que puede tener estas extensiones o plugins, diré que al combinarse con otras herramientas la rapidez de analizar sitios se multiplica exponencialmente. Existen extensiones de todo tipo, desde extensiones para importar (parsear) la salida de datos de un nmap, hasta búsquedas de vulnerabilidades Heartbleed, o un JSON decoder.

Además de este catálogo de extensiones que viene por defecto, siempre tenemos la posibilidad de buscar e instalar a mano la extensión que nosotros queramos, o bien programarla nosotros mismos.

Aunque como ya he dicho antes, estas son algunas de las que existen para la versión gratuita. Si elegimos la versión PRO, además de encontrar más extensiones que instalar, tendremos la posibilidad de utilizar otras utilidades que para la versión Free están desactivadas.

Entre estas utilidades cabe destacar Engagement Tools, un menú desplegable para poder analizar contenido, buscar script o encontrar comentarios de los desarrolladores de cada página.

Imagen 2: Herramientas de análsis

Un caso práctico es parar una conexión, o filtrar el tráfico web a través de Burp Suite, para que el dominio/URL aparezca en Target>Site map y apartir de ahí realizar búsquedas de comentarios y scripts.

Hago especial hincapié en estas tres características:

  • Búsqueda de scripts: Permite recorrer todas las web del sitio en busca de script y mostrarlos claramente, sin la necesidad de tener que ir url por url en busca de scripts. Su función principal es la de un spider, pero centrándose únicamente en la búsqueda de scripts.
  • Búsqueda de comentarios: Actúa como un spider recorriendo todas las URLs encontradas, buscando comentarios de los desarrolladores y mostrándolos en claro. La ventaja de esta utilidad, al igual que la búsqueda de scripts, es que se śe muestran únicamente todas aquellas URLs que tengan comentarios y muestra tan sólo el comentario de cada URL en cuestión.
  • Descubrir contenido: esta característica es la mezcla entre un spider, y un analizador de directorios como Dirbuster. Su objetivo es analizar, recorrer y encontrar todo tipo de contenido web apartir de una URL. Mostrando tanto la ruta de los directorios existentes (sin fuerza bruta) como los archivos contenidos en los directorios.
A continuación vamos a ver un ejemplo de búsqueda de script en la web de www.renfe.com. Donde se puede observar el tipo de script, la sintaxis, etc.


Imagen 3: Búsqueda de script con Burp Suite Pro

En esta otra imagen que se va a mostrar, veremos la búsqueda de comentarios dentro de la misma web. Localizando aquellos puntos claves que nos puedan servir para encontrar algún fallo de seguridad. Puesto que en muchas ocasiones los desarrolladores son descuidados a la hora de comentar el código, dejando información sensible de cara a un atacante.

Imagen 4: Búsqueda de comentarios con Burp Suite Pro