Cuando hablamos de seguridad informática, reconocemos la importancia de detectar las distintas vulnerabilidades, amenazas o riesgos que una aplicación de software puede tener. Aquello con el objetivo de prevenir ataques maliciosos que puedan comprometer nuestros equipos. Por ello en este artículo hablaremos sobre Burp Suite, una plataforma web esencial para la realización de auditorías de seguridad en aplicaciones web.
A través de distintas herramientas especializadas, Burp Suite ofrece la posibilidad de realizar pruebas de penetración en diferentes aplicaciones para evaluar su seguridad y determinar si existen vulnerabilidades que podrían ser el inicio de un ataque malicioso.
Algunas de sus principales funciones son el escáner de vulnerabilidades, el cual detecta las vulnerabilidades de las aplicaciones de manera automática y el servidor proxy, que funciona como un puente entre el navegador y la aplicación destino inspeccionando y modificando el tráfico.
Además, otra de sus funciones básicas es el repetidor, el cual tiene la tarea de modificar y enviar solicitudes al servidor.
Índice de temas
Qué es burp suite: qué significa, origen
A grandes rasgos, es posible decir que Burp Suite es una herramienta diseñada para realizar pruebas de seguridad en diferentes aplicaciones web que requieran un control.
En otras palabras, se trata de una plataforma esencial en el ámbito de la ciberseguridad que a través de un gran número de evaluaciones controla las acciones de una aplicación, sus riesgos y vulnerabilidades, así como también otorga un profundo análisis de los resultados.
Es ideal para prevenir cualquier tipo de problemas que una compañía o usuario pueda tener con sus aplicaciones. Consta de una integración entre pruebas de seguridad de aplicaciones web y ataques a las mismas.
Cuando hablamos de Burp Suite, hablamos de un proxy que interfiere en las peticiones que se realizan entre un cliente y un servidor. El proxy almacena y analiza dichas peticiones y las reenvía hacia el destino original.
Lo que ofrece la plataforma es la posibilidad de observar, analizar y modificar dichas peticiones.
La clave de esta herramienta de ciberseguridad está en detectar las fallas de las aplicaciones antes de que posibles delincuentes cibernéticos las puedan usar para atacar la organización.
Con el advenimiento de la era digital y la creciente información sensible que guardan las empresas en sus ordenadores, es necesario que existan herramientas que puedan hacerle frente a los delincuentes cibernéticos.
Es en ese contexto, en el que Burp Suite es necesario, pues colabora de una manera muy eficiente a la protección de los sistemas de una organización mediante el control de las aplicaciones web que se utilizan.
Burp Suite fue creada por PortSwigger, una empresa líder en el desarrollo de herramientas de software que evalúan la seguridad de aplicaciones web y es conocida, en el ámbito de la ciberseguridad como la pequeña navaja alemana.
Es necesario destacar que la plataforma consta de dos versiones diferentes, una denominada Burp Free y la otra llamada Burp Professional.
La primera es totalmente gratuita, como lo indica su nombre en inglés, y la segunda es la versión paga, la cual ofrece algunos componentes más.
Burp Suite Community Edition
En este apartado nos dedicaremos a describir la versión gratuita de la plataforma. Se puede encontrar instalada en Kali Linux, un sistema operativo diseñado para la auditoría y la seguridad informática en general.
Tiene un rol clave en la realización del Pentesting debido a que actúa como proxy http, es decir que su tarea es examinar el tráfico web para identificar contenido sospechoso como un virus o cualquier tipo de intrusión.
Es una herramienta muy utilizada en el hacking ético (la práctica que realizan especialistas en ciberseguridad con el objetivo de encontrar vulnerabilidades en un determinado sistema) debido a que analiza, evalúa, acepta o rechaza todas las solicitudes y respuestas de una aplicación determinada.
Burp Suite Professional
Además de Burp Suite Community Edition, la empresa desarrolladora de software PortSwigger ofrece Burp Suite Professional.
Se trata de la versión paga de la plataforma que se debe utilizar si se requieren algunas funciones más avanzadas que colaboren al pentesting.
Al igual que la versión gratuita de Burp Suite contiene un proxy que intercepta el tráfico de navegación. Por otro lado, cuenta con un escáner de aplicaciones web que sirve para la detección de las vulnerabilidades que las distintas aplicaciones puedan tener.
Entre otras funciones podemos encontrar soporte de plugins, algunas herramientas avanzadas de Fuzzing, un módulo de detección de contenido indexado conocido como spider, un módulo de descubrimiento y análisis de sesiones.
¿Qué se puede hacer con Burp Suite?
Hemos dicho hasta ahora que Burp Suite es una plataforma capaz de llevar a cabo las auditorías de seguridad de una organización con el objetivo de evitar ataques de software maliciosos.
Ahora bien, en este apartado analizaremos con mayor profundidad que se puede hacer con Burp Suite, qué herramientas ofrece esta plataforma para el cuidado de la ciberseguridad de una empresa.
En primer lugar, su función básica es la de realizar pruebas de exploración y escanear vulnerabilidades que puedan llegar a tener las aplicaciones web.
El escaneo de vulnerabilidades se puede llevar a cabo de forma automatizada, o a través de un método avanzado de forma manual.
Una vez que se llevó adelante el escaneo y la exploración, Burp Suite ofrece un análisis claro y conciso de las vulnerabilidades y agrega algunas recomendaciones.
Recordemos que el sentido de encontrar las vulnerabilidades es poder resolverlas antes de que un delincuente cibernético se aproveche de ellas. Además de presentar las vulnerabilidades y dar recomendaciones, también informa los payloads que se utilizaron.
Cómo mencionamos previamente, Burp Suite es una plataforma que integra la posibilidad de realizar pruebas de seguridad y de atacar aplicaciones web con el objetivo de fortalecer los sistemas de seguridad.
Se trata de un complemento ideal para todo el proceso de prueba. El mapeo inicial, el análisis de la superficie de ataque de la aplicación y el descubrimiento y explotación de las vulnerabilidades de la aplicación hacen que Burp Suite sea reconocida como una herramienta muy efectiva para las auditorías.
En general, se utiliza también para testear modificaciones pequeñas que puedan afectar la seguridad. Es la automatización de la modificación de las peticiones lo que hace a la velocidad del proceso.
Una cuestión a la que ya hemos hecho referencia es la tarea que tiene Burp Suite como intermediario en el tráfico del navegador web. Con el proxy entre el navegador y la red puede interceptar las peticiones que se realicen e inspeccionar el tráfico.
Con Burp Suite además es posible conectarse a las aplicaciones web a través de distintos métodos que ofrece la propia plataforma.
Por otro lado, Burp Suite consta de una ventaja considerable que permite ampliar el campo de acción de quienes la utilizan. Nos referimos a extender, una de sus herramientas que posibilita la instalación de una gran cantidad de extensiones. De esta manera, es posible ampliar las funcionalidades de la plataforma.
Se trata de una herramienta que le da mucho potencial a la plataforma. Existen dos formas de instalar una extensión, las cuales describiremos más adelante.
Otra de las herramientas que ofrece Burp Suite es Burp Intruder. Burp Intruder se relaciona con la función de realizar ataques que ofrece Burp Suite.
Con ella se pueden realizar ataques programados que pongan a prueba nuestro sistema. Si bien es una herramienta que está disponible en la versión gratuita de Burp Suite, ofrece su máximo potencial con Burp Professional, la versión paga.
Cuando nos referimos a que se puede hacer con Burp Suite, no podemos dejar de mencionar su herramienta target. Esta última, disponible en Burp Free, permite fijar un objetivo y construir un SiteMap a partir de él.
Como bien marcamos al principio, Burp Suite puede realizar ciertas acciones de manera automatizada. Recordemos que su principal funcionalidad es la de encontrar vulnerabilidades en las aplicaciones web para evitar que sufran intromisiones maliciosas.
Es para eso, en particular, que existe la herramienta que los desarrolladores han llamado spider. Se trata de un instrumento por el cual es posible inspeccionar las páginas web y recursos de la aplicación de forma automática.
Además, con la herramienta repeater, que ya nos encargaremos de mencionar en profundidad más adelante, es posible controlar de forma manual las peticiones HTTP interceptadas por el proxy, cambiar parámetros, cabeceras y reenviarlas nuevamente. Al igual que la herramienta target, repeater está disponible en Burp Free.
Clasificación
Si bien algo hemos destacado acerca de sus diferentes versiones, nos detendremos en este apartado a mencionar cuáles son cada una de ellas.
En primer lugar, cabe aclarar que hay una versión gratis y luego dos versiones pagas que varían su precio acorde a las funcionalidades que ofrecen. Las versiones pagas ofrecen, por ejemplo, guardar sesiones de trabajo o algunas funcionalidades de ataque automatizado.
La versión gratuita es para la comunidad y basta con descargarla desde el sitio oficial de la página. A pesar de ser gratuita, es posible ejecutar la gran mayoría de las funcionalidades y se puede trabajar a un nivel muy alto.
De todas formas, vale la pena aclarar que con la versión gratuita no será posible guardar las sesiones de trabajo, por lo que los proyectos en los que trabajemos deberán ser temporales.
Por otro lado, existe una versión paga denominada profesional que tiene un costo intermedio. Dicha versión ofrece la posibilidad de realizar el escaneo de vulnerabilidades de la web y las herramientas manuales esenciales y avanzadas.
Pero Burp Suite no ofrece una sola versión paga, sino que tiene otra de un mayor costo que es clasificada como la versión para empresas. Esta última también ofrece el escaneo de vulnerabilidades, la integración CI, escalabilidad ilimitada y otros escaneos programados.
Sin embargo, no ofrece la posibilidad de utilizar las herramientas manuales.
¿Cómo se instala burp suite?
Pues bien, hasta ahora nos hemos referido a las herramientas principales de Burp Suite y hemos destacado sus versiones disponibles. Es momento ahora de referirnos a la instalación de esta plataforma que controla las vulnerabilidades de las aplicaciones web.
Tal como destacamos cuando hablamos de las funcionalidades de esta plataforma, Burp Suite combina la tecnología manual avanzada con procesos automatizados de una forma muy efectiva. Es así como el trabajo en la aplicación se vuelve más rápido y ofrece mejores resultados.
Previo a describir como es el proceso de descarga de Burp Suite, debemos aclarar que está escrito en el lenguaje de programación Java, por lo que es recomendable contar con las instalación del software JDK (Java Development Kit) antes de comenzar.
Como veremos a continuación, la descarga de Burp Suite está disponible para los principales sistemas operativos como Linux, Windows y Mac.
Descarga
Para comenzar con el proceso de instalación de la versión gratuita de Burp Suite, lo primero que debemos hacer es descargarlo desde el siguiente enlace: https://portswigger.net/burp/communitydownload.
Una vez en el link de descarga de la página oficial de PortSwigger, la empresa creadora de Burp Suite, se solicita un mail para iniciar la descarga. Luego de llenar el espacio con un mail, se debe presionar en descargar.
Ejecución
Una vez descargado el archivo, la instalación es muy simple. Se deben seguir los pasos que indica el propio programa para la instalación. En una ventana aparecerá una opción que dirá ‘Siguiente’ la cual debemos presionar.
Una vez hecho esto, comienza a ejecutarse la instalación. Cuando esta última se concluye, se abrirá una nueva ventana en la cual debemos presionar en ‘Iniciar Burp’, con el objetivo de acceder a la interfaz principal.
Configuración
Pues bien, en este momento de la instalación ya debemos tener acceso a la interfaz principal de Burp Suite. Solo resta realizar la configuración correspondiente para la correcta utilización del programa.
Recordemos que Burp Suite debe ser un servidor Proxy para poder llevar a cabo todas sus funciones. Para que esto sea así, dentro de Burp Suite debemos encontrar la pestaña ‘Proxy’ y luego la pestaña ‘Options’.
Allí, debemos verificar si tenemos agregado un Proxy como el que se necesita para que Burp Suite sea efectivo.
Una vez que hayamos hecho esto, desde el navegador debemos ir a la opción de preferencias avanzadas y disponer la configuración manual del proxy.
Al haber elegido la configuración manual, se desplegarán varias opciones en las cuales en Proxy HTTP debemos escribir ‘127.0.0.1’ y Puerto 8080, que es el puerto que generalmente es utilizado por Burp Suite.
Luego, encontraremos una casilla que debemos presionar la cual establecerá ese proxy para todos los protocolos.
Para concluir, desde BurpSuite debemos controlar en la pestaña intercept, que la misma esté configurada como Intercept is on. De esta manera, cualquier cosa que pase por el navegador será interceptada por el proxy.
Sabremos que hemos hecho una correcta configuración si al enviar peticiones en el navegador, como por ejemplo dirigirnos a un sitio web, Burp Suite nos muestra toda la información enviada y recibida por parte de una aplicación determinada.
Tal como explicamos previamente, las peticiones podrán ser modificadas y reenviadas de acuerdo a la opción que ofrece Burp Suite. Esta última se trata de una de las funcionalidades más importantes de la plataforma.
Nos referimos a la posibilidad de automatizar las pruebas que requieren una rápida modificación de peticiones.
Instalación de una extensión en Burp Suite
Como mencionamos previamente, Burp Suite cuenta con una herramienta que permite instalar extensiones conocida como extender. De esta manera, la plataforma adquiere potencial porque se puede complementar de forma muy efectiva con otras funciones.
Hay dos formas de instalar una extensión. Una de ellas es descargándola desde la web en el caso de que algún desarrollador haya publicado el link o mediante la creación de una a través de la generación del tipo de archivo JAR. Este último permite ejecutar aplicaciones y herramientas escritas en lenguaje JAVA.
Por otro lado, existe una manera mucho más sencilla de instalar extensiones y esto es haciéndolo desde la Burp Suite App Store. Allí podremos encontrar los plugins más utilizados.
La propia App Store de Burp Suite ofrece una explicación acerca de cuál es la funcionalidad de cada Plugin.
Si bien las dos opciones son igualmente válidas, es recomendable utilizar la tienda de Burp Suite ya que ofrece aquellas extensiones más populares entre los usuarios.
Esto significa que ya fueron validadas y que en definitiva nos darán un mejor refuerzo en el trabajo en la plataforma.
Además, si se encuentran en la aplicación, es muy probable que ya hayan sido actualizadas a la versión actual que se esté utilizando de Burp Suite.
¿Cómo funciona?
Es momento de describir cómo funciona esta plataforma de diversas herramientas para la realización de auditorías de seguridad de aplicaciones web.
En líneas generales, el funcionamiento interno de Burp Suite se divide y organiza en tres segmentos: Reconocimiento y Análisis, Explotación y Detección de Vulnerabilidades y Configuración de herramientas. A continuación describiremos cada una de ellas.
Reconocimiento y Análisis
El reconocimiento y análisis como función interna de Burp Suite consiste en la búsqueda de aquellas vulnerabilidades que posea una determinada aplicación.
Pero, como ya explicamos previamente, el servicio de Burp Suite no se limita solamente a la detección de debilidades sino que también ofrece un análisis de las mismas. Es en estas tareas donde entran en juego ciertas herramientas de la plataforma.
Entre ellas encontramos el Proxy, el Burp Spider y el Target Site Map. Básicamente, mediante Burp Suite es posible realizar un mapeo manual de la aplicación que está siendo controlada.
Además, dicho mapeo también puede configurarse para que sea realizado de forma automática. Otra de las funciones que se desarrollan en el reconocimiento y análisis de Burp Suite es el análisis de la superficie de ataque de la aplicación.
Es menester mencionar que Burp Suite consta de la herramienta secuencer, la cual cumple el rol de analizar la aleatoriedad de los tokens de sesión. Esta última suele ser muy útil a la hora de obtener cookies y tokens CSRF.
Explotación y Detección de Vulnerabilidades
Esta parte del funcionamiento interno de Burp Suite se refiere a la tarea de detectar y explotar las vulnerabilidades. Una vez analizada la superficie de ataque de una aplicación determinada, entran en juego otras herramientas de la plataforma.
Entre estas herramientas podemos encontrar al Burp Scanner, el cual detecta diferentes tipos de vulnerabilidades ya sea de forma activa o pasiva y al Burp Repeater desde el cual se pueden manipular algunas de las peticiones interceptadas. Otras herramientas son el Burp Intruder y el Burp Sequencer.
El rol principal de la detección de vulnerabilidades es la de encontrar las fallas basadas en las entradas, las de lógica y de diseño, solucionar problemas en el control de acceso y por último confirmar las vulnerabilidades del navegador web.
Configuración de Herramientas
Por otro lado, el funcionamiento interno de Burp Suite consta también de una configuración de herramientas. De aquellas herramientas que hacen al funcionamiento propio de Burp Suite.
Existen algunas funciones de las herramientas que provee Burp Suite que son muy novedosas. Es el caso de comparer, una herramienta que es posible utilizar en Burp Suite y cumple el rol de comparar los datos de peticiones y respuestas.
Grupos para compartir conocimiento
Es normal que entre la propia comunidad de la ciberseguridad se compartan los conocimientos adquiridos en la lucha contra la ciberdelincuencia y el malware.
Esto es debido a que de forma colaborativa es más fácil identificar ciertas aplicaciones que puedan provocar vulnerabilidades.
Por tanto, existen algunos grupos en los cuales se puede compartir conocimiento acerca de Burp Suite. Se trata de grupos ideales si se quiere ampliar conocimientos en el campo de las auditorías de seguridad o si por el contrario se quiere compartirlos.
Para conseguir más información y compartir conocimiento es posible unirse al grupo de Telegram: https://t.me/joinchat/DWs-6xZJaV8GhgOot58Hlw
Pues bien, hemos hecho un análisis general sobre qué es Burp Suite, para que se utiliza, cuáles son sus herramientas más importantes y cómo descargarlo.
Se trata de una plataforma ideal para las auditorías de seguridad de una organización que mediante la combinación de los controles y los ataques logra fortalecer las vulnerabilidades que pueden devenir en serios problemas de seguridad informática.
Prohibida su reproducción total o parcial.