Scribd
Cargar
62 vistas19 páginas

Uso de Burpsuite

Cargado por

Alexander Cedeño
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
62 vistas19 páginas

Uso de Burpsuite

Cargado por

Alexander Cedeño
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Burpsuite

OBJETIVO:
Generar pruebas de seguirdad en web utilizando Burpsuite para probar la seguridad de un servidor web
dentro de una red de datos.
Burp Suite, una herramienta ideal
utilizada en el campo de la
ciberseguridad, las pruebas de
penetración y las auditorías.
1. Update de repositorios
2. Burpsuite en Kali

Tiene un rol clave en la realización del Pentesting debido a que


actúa como proxy http, es decir que su tarea es examinar el
tráfico web para identificar contenido sospechoso como un
virus o cualquier tipo de intrusión.
3. Ejecución de Burpsuite
3. Ejecución de Burpsuite
3. Ejecución de Burpsuite

Finalmente, seleccionamos el formato DER y lo guardamos en


disco con el nombre burp.der.
Las características principales de Burp Suite son que puede
funcionar como un proxy de interceptación. Burp Suite
intercepta el tráfico entre un navegador web y el servidor web.
3. Configurar el proxy
Además, asegúrese de que Intercept esté activado en la
subpestaña Interceptar.
Después de haber configurado el proxy, vaya al destino
normalmente ingresando la URL en la barra de direcciones.
Puedes notar que la página no se carga. Esto se debe a que
Burp Suite está interceptando la conexión.

https://defendtheweb.net/auth
Se captura el tráfico con intercep on y luego se pasa click
derecho: Seleccionar Intruder
Se selecciona la parte de usuario y contraseña con add para
ejecutar comandos sql injection.
Se selecciona la parte de usuario y contraseña con add para
ejecutar comandos sql injection.
Se selecciona la parte de usuario y contraseña con add para
ejecutar comandos sql injection.
'
"
/
/*
#
)
(
)'
('
and 1=1
and 1=2
and 1>2
and 1<=2
+and+1=1
+and+1=2
+and+1>2
+and+1<=2
/**/and/**/1=2
/**/and/**/1>2
/**/and/**/1<=2
%' or '0'='0
Repeter: Se debr presionar control + R para usar la
herramienta repeter
y enviar un sin numero de peticiones
RETROALIMENTACIÓN
La versión gratuita es para la comunidad y basta con descargarla desde el sitio
oficial de la página. A pesar de ser gratuita, es posible ejecutar la gran mayoría de
las funcionalidades y se puede trabajar a un nivel muy alto.

De todas formas, vale la pena aclarar que con la versión gratuita no será posible
guardar las sesiones de trabajo, por lo que los proyectos en los que trabajemos
deberán ser temporales.

También podría gustarte