¿Dónde puedo encontrar un tutorial sólido de BURP? [cerrado]

Navega tus respuestas
19

Estoy buscando un buen recurso para aprender / configurar BURP. Entiendo los conceptos detrás del uso del marco y he leído los documentos en el sitio, pero si alguien tiene un enlace tutorial sólido, me encantaría verlo. Hubiera hecho de esto un wiki pero no estoy buscando compilar un gran recurso, solo quiero un par de enlaces sólidos y cerraré la pregunta.

También se aprecian los enlaces a configuraciones BURP preconfiguradas.

Para especificar un poco más, estoy particularmente interesado en la configuración ideal para la navegación manual, ya que prefiero el sigilo y la capacidad de control frente a inundar toneladas de páginas.

    
pregunta mrnap 23.02.2011 - 18:28
fuente

5 respuestas

15

Junto con los consejos sobre cómo usar Burp, tampoco debe olvidar personalizar lo siguiente:

Envío de formulario:

Para establecer nombres y valores adecuados para los formularios enviados por Burp, ya que supongo que no desea enviar 'Weiner' :-)

Dentro de la ventana de Burp: navega a la pestaña 'Spider' y luego al menú 'opciones'. Desde aquí debe actualizar los valores estándar en la sección de formularios:

Hagaclicencadavaloryseleccione'editar',cambieelvaloryluegohagaclicenelcampo'actualizar'antesdeseleccionarelsiguientevalor:

Payload:

También puede editar las cargas útiles predeterminadas que se utilizan dentro de Burp. Esto se puede hacer desempaquetando el archivo .jar. Este ejemplo utiliza 7Zip para descomprimir el último archivo Burp.

Primero haga clic derecho en el archivo .jar y seleccione abrir con 7Zip. Esto mostrará:

Luegoabreburp\PayloadStrings\:

Desde esta carpeta, selecciona fuzzing - full.pay. Dentro de este archivo, verá opciones que se pueden configurar según sus necesidades específicas (resaltadas en la siguiente imagen):

Araña:

Paralarevisiónmanual,lapropiapáginadeayudadeBurpstienelossiguientesconsejos:

  

arañapasivamientrasnavegas-siestámarcada,BurpSpiderprocesará  TodaslassolicitudesHTTPrealizadasatravésdeBurp  Proxy,paraidentificarenlacesyformulariosen  Páginaswebvisitadas.Usandoestaopcion  puedehabilitarBurpSpiderparaconstruiruna  imagendetalladadeunaaplicación  contenidosinclusocuandosolotienes  navegadounsubconjuntodeesecontenidocon  tunavegador,porquetodoelcontenidoque  estávinculadodesdeelcontenidovisitadoes  añadidoautomáticamentealsitiodelaSuite  mapa.

Estosehacevisitandolapestaña'Spider'yluegoseleccionandolapestaña'opciones':

De esta manera, usted controla la generación del mapa del sitio sin inundar el host con tráfico.

Espero que esto ayude.

    
respondido por el David Stubley 24.02.2011 - 14:46
fuente
7

Absolutamente absolutamente retome el Manual de piratas informáticos de aplicaciones web de Portswigger (autor de Burp), que está escrito como una introducción a los conceptos relevantes de reversión / piratería de aplicaciones web, pero también como una guía paso a paso para la aplicación. Esos conceptos con Burp Suite.

Tenga en cuenta que la Segunda Edición ya está disponible.

    
respondido por el jcran 08.08.2011 - 09:18
fuente
6

Una buena secuencia de tutoriales que he visto está en Security Ninja sitio. Esos enlaces obtuvieron el último de la serie (se enfoca en la pestaña del escáner) pero hay enlaces a los otros desde esa página.

    
respondido por el Rоry McCune 23.02.2011 - 22:37
fuente
2

Este de SalesForce parece estar bien, un poquito básico si ha usado burp anteriormente.

    
respondido por el Rory Alsop 23.02.2011 - 22:46
fuente
0

En la versión 1.5, Burp contiene una sólida ayuda incorporada que se puede usar como tutorial. Es accesible a través de Help -> Burp Suite Help

    
respondido por el Andrei Botalov 01.11.2012 - 20:37
fuente

Lea otras preguntas en las etiquetas

Detener grandes solicitudes a mi servidor (TOR) Cualquier comentario o consejo sobre OWASP-2013 top 10 número A9