Continuamos con las entradas, de BurpSuite ahora conoceremos otras bondades de la misma y con ello comenzaremos ya a realizar pruebas con la herramienta, por ello veremos ahora los siguientes puntos:
- Historia de Peticiones
- Comparando Sitemaps
- Reporte de Vulnerabilidades
Historia de Peticiones
Este punto del historial de peticiones, llega a ser nuestro log de todo lo que realizamos por ello tenemos dos opciones una versión web y otro desde la misma herramienta por ello si deseamos visualizarlo desde el navegador nos vamos a localhost:8060 el puerto claro esta! y nos dirigimos a Proxy History el cual nos dara un listado de todas las peticiones que realizamos con anterioridad.
Si seleccionamos un de los campos en URL podremos ver mas detalles de petición.
Tambien tenemos un historial de todas las peticiones en SiteMap como se ve en la sigueinte captura, pero el que en realidad cumple la funcioanlidad de contar con el historial de peticiones es otro.
El otro que les hablo se encuentra en la pestaña, Proxy y la sub pestaña History. Como ven en la captura cuenta con un orden consecutivo de la petición el host, el método de la petición, la URL, los parametros si fue editado, la respuesta, y datos adicionales además de contar con un log de tiempo indicando a que hora se realizo la petición con la fecha incluida en ella
Comparando Sitemaps
Esta opción nos permite comparar dos sitemap para tener uno y ver que cosas cambiaron, ya que algunas veces toca realizar un pentesting a entornos en producción y los desarrolladores andan fixeando al momento esto permite identificar además de que puede variar de una prueba a otro por el tiempo de respuesta según el caso.
La opción se encuentra disponible, sobre el sitemap disponible después de los engagement Tools.
Basta con seleccionar el primero con el segundo y ver las diferencias tanto como lo que se modifico elimino o añadio ademas de ver las peticiones de los mismos.
Reporte de Vulnerabilidades
BurpSuite cuenta con un generador de reporte de las vulnerabilidades que fueron encontradas con el mismo, una vez seleccionado nos permite exportar y configurar los parámetros respectivos.
Seleccionamos el tipo de reporte XML o HTML, por comodidad y presentación seleccione HTML.
Que problemas debilidades adicionaremos al reporte, son seleccionadas en la siguiente ventana.
Guardamos los datos, con el nombre deseado.
Y nuestro resultado final es muy parecido a este.
Espero les agrade este nuevo post mañana trataré de realizar la entrada respectiva porque andaré en capacitación dando un módulo de una certificación realizada por la empresa donde trabajo.
Entradas anteriores de la serie.
- BurpSuite - La pequeña navaja Alemana
- **BurpSuite I - Primeros Pasos **
- BurpSuite II - Intercepted, Tampering request! conociendo al proxy
- Burpsuite III - Sitemap, Crawling, Vulnerability Scanning
- **BurpSuite IV - **Configuración de Certificado digital, ProxyTOR?, guardando y recuperando
- BurpSuite V - Engagement Tools
- **BurpSuite VI - Burp Suite Pro Real life tips and tricks **
- BurpSuite VII - Match and Replace, Modificaciones HTML, Encoding and decoding
Regards,
Snifer