Resolución de retos con herramientas de seguridad web

Clase 19 de 35Curso de Hacking Ético

Clase anteriorSiguiente clase

Resumen

¿Cómo utilizar Burpsuite para resolver un reto de seguridad web?

Burpsuite es una potente herramienta utilizada por profesionales de la ciberseguridad para auditar la seguridad de aplicaciones web. En esta ocasión, exploraremos cómo utilizar Burpsuite para resolver un reto específico del Holiday Gaming Challenge, centrado en la obtención de un código de acceso a través del análisis de la seguridad de una página web.

¿Qué es Burpsuite y cómo se instala?

Burpsuite es una plataforma que integra una variedad de herramientas diseñadas para analizar la seguridad de aplicaciones web. Parte de su eficacia reside en su capacidad para actuar como un proxy entre el servidor y el cliente, permitiendo interceptar, modificar y repetir solicitudes HTTP sin recargar las páginas.

Para instalar Burpsuite en Kali Linux, sigue estos pasos:

  1. Navega a la sección de aplicaciones web en Kali Linux y busca Burpsuite.
  2. Ejecuta Burpsuite y selecciona iniciar un proyecto temporal.
  3. Configura el proxy de Burpsuite para que escuche en 127.0.0.1:8080.
  4. Ajusta tu navegador para que utilice el proxy HTTP manual con la IP y puerto mencionados.

¿Cómo se configura el navegador para utilizar Burpsuite como proxy?

Para que Burpsuite intercepte de manera efectiva las solicitudes entre el cliente y el servidor, es necesario configurar el navegador con un proxy manual:

  1. Ve a las preferencias del navegador.
  2. En la sección de red, selecciona la opción de configurar proxy manual.
  3. Ingresa la dirección 127.0.0.1 y el puerto 8080 para HTTP y HTTPS.
  4. Asegúrate de aplicar esta configuración para todos los protocolos.

¿Cómo resolver un reto de seguridad con Burpsuite?

Utilizando las funcionalidades de Burpsuite, es posible resolver retos de seguridad, como el presentado en Holiday Gaming Challenge. Lleva a cabo los siguientes pasos:

  • Inspeccionar el código HTML: Analiza la página en cuestión para identificar posibles eventos o elementos ocultos.

  • Capturar solicitudes HTTP: En la pestaña de HTTPS History de Burpsuite, revisa las solicitudes realizadas por el navegador, prestando atención a las estructuras y parámetros enviados.

  • Automatizar pruebas de código: Utiliza la función Intruder de Burpsuite para generar y enviar solicitudes con diferentes combinaciones de códigos posibles. Configura los parámetros de manera que cubran todo el rango de combinaciones necesarias para el reto.

- Ajusta el ataque para generar códigos desde '0000' hasta '9999'.
- Configura el ataque para que incremente en 1.

¿Cómo resolver problemas de certificados SSL con Burpsuite?

Cuando navegues en páginas HTTPS, tu navegador podría bloquear las solicitudes debido a la falta de un certificado SSL válido. Sigue estos pasos para solucionar el problema:

  • Descargar e instalar el certificado: Ve al portal de Burpsuite para descargar el certificado CA y agrégalo a la lista de certificados de confianza en las preferencias de tu navegador.
  • Añadir excepciones de seguridad: Si el problema persiste, añade las excepciones correspondientes para que las pruebas de interceptación de Burpsuite no se vean obstaculizadas.

¿Qué hacer una vez obtenido el código de acceso?

Tras ejecutar un ataque automatizado con Burpsuite, deberías poder identificar la longitud y el formato del código correcto. Procede de la siguiente manera:

  1. Detén el ataque en cuanto notes un cambio de longitud en las respuestas.
  2. Introduce el código encontrado en la página de reto para recibir la imagen o dato solicitado.

Burpsuite es una herramienta versátil que permite no solo auditar la seguridad de aplicaciones web, sino también potenciar tus habilidades en identificar y mitigar amenazas. Con práctica y paciencia, puedes resolver retos de seguridad que al principio parecerían insolubles.