Tutorial
BurpSuite XI - Análisis Web OWASP, Conociendo la aplicación
·  5 min read
Antes de iniciar un proceso de Pentesting es necesario realizar el reconocimiento previo por lo tanto en una aplicación web se cumple esta primera etapa debido a que es necesario identificar lo que veremos a continuación Conociendo el Contenido _Lenguaje de desarrollo y _Características del servidor. Estructura del Sitio Web _Funcionalidad e _Identificación de variables. Análisis de Vulnerabilidades El ultimo punto es necesario realizar ya que nos permite comprender la lógica de negocio, si tiene manejo de sesión, la información es dinámica o simplemente es informativa, con ello identificamos vectores de ataque.

BurpSuite X - Metodología de Análisis Web con Owasp
·  3 min read
Es momento de jugar con la herramienta y crear un listado o proceso de pentesting en aplicaciones web considerando que este llega a ser una mezcla de varios puntos que llego a utilizar queda aclarar que esta es una¬†t√©cnica¬†de las muchas que existen o pueden haber no es la √ļnica¬†forma, es una mezcla de OWASP y lo que uso en el testeo de las aplicaciones web.¬†Al finalizar esta serie lo volcare en un archivo PDF, MOBI, EPUB, con el fin de que se tenga disponible incluyendo las entradas de configuraci√≥n de la herramienta la maquetaci√≥n y¬†dem√°s¬†lo veremos conforme¬†pase el tiempo, vale aclarar que este contenido que se tiene es solo con el fin de tener una base por ahora y conforme se vaya desarrollando el mismo ser√° modificado, del mismo modo el documento final¬†tendr√°¬†cambios, como la presentaci√≥n del mismo.

BurpSuite IX - Cookie Jar, Extensiones, guardado autom√°tico y estabilidad.
·  3 min read
Esta si que es la ultima entrada presentando las utilidades de la herramienta aunque quizas vengan unas cuantas mas conforme se vayan desarrollando en la entrada de hoy vereomos los Burp’S Cookies Jar, conoceremos sobre las extensiones, y una breve configuraci√≥n respecto al guardado autom√°tico. Burp’s Cookie Jar Viewer Extensiones Guardado autom√°tico y estabilidad Burp’s Cookie Jar Viewer Esta funcionalidad nos permite visualizar las cookies de la¬†sesi√≥n¬†actual,¬†modificando, editando eliminando, y visualizando una opci√≥n que no debe de ser desperdiciada esta se encuentra en la pesta√Īa de Opciones.

BurpSuite VIII - Historia de peticiones, Comparando Sitemaps, Reporte de Vulnerabilidades
·  3 min read
Continuamos con las entradas, de BurpSuite ahora conoceremos otras bondades de la misma y con ello comenzaremos ya a realizar pruebas con la herramienta, por ello veremos ahora los siguientes puntos: Historia de Peticiones Comparando Sitemaps Reporte de Vulnerabilidades Historia de Peticiones Este punto del historial de peticiones, llega a ser nuestro log de todo lo que realizamos por ello tenemos dos opciones una versión web y otro desde la misma herramienta por ello si deseamos visualizarlo desde el navegador nos vamos a localhost:8060 el puerto claro esta!

BurpSuite VII - Match and Replace, Modificaciones HTML, Encoding and decoding
·  3 min read
Que tal, retomamos la serie de entradas de BurpSuite y esta oportunidad veremos algunas opciones adicionales de BurpSuite las cuales nos serviran al realizar algunas pruebas, no se olviden que dos dias estuvimos sin postear en el blog por lo tanto hoy los recuperaremos ;). Match and Replace Modificaciones HTML **Encoding and Decoding ** Match and Replace Esta opción de Match and replace nos permite realizar de manera automatica modificaciones cuando encuentra una relacion con lo que indicamos por ejemplo si deseamos que realize una modificacion del user agent, que este viene por defecto con la expresion regular para realizar dicha observación, esto lo use recientemente para validar el comportamiento de una pagina web en dispositivos móviles de manera directa con burpsuite para ello tenemos dicha opción en Proxy, Options en la parte inferior el Match and Replace.

BurpSuite VI - Burp Suite Pro Real life tips and tricks
·  1 min read
Esta entrada forma parte de la serie de BurpSuite ya que es una presentación realizada en el OWASP AppSecEU13 donde Nicolas Grgoire nos presenta la herramienta explicando cada una de las opciones, y los querido TIPS que debemos de considerar, estos puntos tenia pensado hablar en el blog de estos puntos pero para no hacerlo mas largo y pasar a realizar el análisis OWASP con la herramienta, siguiendo la guia que nos da BurpSuite.

BurpSuite V - Engagement Tools
·  3 min read
Los engagement tools secci√≥n de herramientas de ayuda/apoyo que nos brinda BurpSuite para realizar algunas tareas de reconocimiento e identificaci√≥n de una manera mas r√°pida y f√°cil, a continuaci√≥n conoceremos cada uno de ellos dando una peque√Īa y breve explicaci√≥n la manera que nos puede servir. Buscador B√ļsqueda¬†de Comentarios B√ļsqueda¬†de Scripts B√ļsqueda¬†de referencias Analizar el Objetivo Descubrir contenido Programar Tarea. Simulaci√≥n de Testeo Manual Dichos Engagement Tools, los vemos al hacer un click derecho sobre nuestro objetivo como se ve en la siguiente captura.