¿Cómo utilizar Burpsuite para resolver un reto de seguridad web?
Burpsuite es una potente herramienta utilizada por profesionales de la ciberseguridad para auditar la seguridad de aplicaciones web. En esta ocasión, exploraremos cómo utilizar Burpsuite para resolver un reto específico del Holiday Gaming Challenge, centrado en la obtención de un código de acceso a través del análisis de la seguridad de una página web.
¿Qué es Burpsuite y cómo se instala?
Burpsuite es una plataforma que integra una variedad de herramientas diseñadas para analizar la seguridad de aplicaciones web. Parte de su eficacia reside en su capacidad para actuar como un proxy entre el servidor y el cliente, permitiendo interceptar, modificar y repetir solicitudes HTTP sin recargar las páginas.
Para instalar Burpsuite en Kali Linux, sigue estos pasos:
Navega a la sección de aplicaciones web en Kali Linux y busca Burpsuite.
Ejecuta Burpsuite y selecciona iniciar un proyecto temporal.
Configura el proxy de Burpsuite para que escuche en 127.0.0.1:8080.
Ajusta tu navegador para que utilice el proxy HTTP manual con la IP y puerto mencionados.
¿Cómo se configura el navegador para utilizar Burpsuite como proxy?
Para que Burpsuite intercepte de manera efectiva las solicitudes entre el cliente y el servidor, es necesario configurar el navegador con un proxy manual:
Ve a las preferencias del navegador.
En la sección de red, selecciona la opción de configurar proxy manual.
Ingresa la dirección 127.0.0.1 y el puerto 8080 para HTTP y HTTPS.
Asegúrate de aplicar esta configuración para todos los protocolos.
¿Cómo resolver un reto de seguridad con Burpsuite?
Utilizando las funcionalidades de Burpsuite, es posible resolver retos de seguridad, como el presentado en Holiday Gaming Challenge. Lleva a cabo los siguientes pasos:
Inspeccionar el código HTML: Analiza la página en cuestión para identificar posibles eventos o elementos ocultos.
Capturar solicitudes HTTP: En la pestaña de HTTPS History de Burpsuite, revisa las solicitudes realizadas por el navegador, prestando atención a las estructuras y parámetros enviados.
Automatizar pruebas de código: Utiliza la función Intruder de Burpsuite para generar y enviar solicitudes con diferentes combinaciones de códigos posibles. Configura los parámetros de manera que cubran todo el rango de combinaciones necesarias para el reto.
- Ajusta el ataque para generar códigos desde '0000' hasta '9999'.
- Configura el ataque para que incremente en 1.
¿Cómo resolver problemas de certificados SSL con Burpsuite?
Cuando navegues en páginas HTTPS, tu navegador podría bloquear las solicitudes debido a la falta de un certificado SSL válido. Sigue estos pasos para solucionar el problema:
Descargar e instalar el certificado: Ve al portal de Burpsuite para descargar el certificado CA y agrégalo a la lista de certificados de confianza en las preferencias de tu navegador.
Añadir excepciones de seguridad: Si el problema persiste, añade las excepciones correspondientes para que las pruebas de interceptación de Burpsuite no se vean obstaculizadas.
¿Qué hacer una vez obtenido el código de acceso?
Tras ejecutar un ataque automatizado con Burpsuite, deberías poder identificar la longitud y el formato del código correcto. Procede de la siguiente manera:
Detén el ataque en cuanto notes un cambio de longitud en las respuestas.
Introduce el código encontrado en la página de reto para recibir la imagen o dato solicitado.
Burpsuite es una herramienta versátil que permite no solo auditar la seguridad de aplicaciones web, sino también potenciar tus habilidades en identificar y mitigar amenazas. Con práctica y paciencia, puedes resolver retos de seguridad que al principio parecerían insolubles.
Creo que fue innecesario colocar el 9999, ya que el máximo posible es 4444, por lo que el sistema no va a probar con todo el resto de números
hola. si lo queres mejorar ni siquiera el 4444, porque la longitud es 4. los numeros van de 0 a 3. podrias colocar 3333
el curso esta buenisimo pero deberia actualizarse, hoy 23 de septiembre del 2022 ya no esta disponible el reto del 2018 ya que solo se mantiene disponible los retos de los ultimos 3 año
hola compañero, concuerdo contigo estos cursos deberían estar en la obligación de actualizarse.
Sé que hay mejores maneras para hacerlo más eficiente, pero aquí está mi aporte en python3. <3
Igual que encontrar el acceso a hack the box
También se puede descargar Burp Suite para Windows.
tanto nmap, burpsuite, nesus e incluso metasploitable corren perfectamente sobrewindows
Me encanto! excelente. lastima que en este momento ya no estan esos retos
Para cuando un update del curso con el mismo profesor?
Mega desactualizado jajajaja. Lo estoy viendo porque los métodos casi no cambian, pero de todas formas muy desactualizado.
Clik derecho y inspeccionar elementos
Se debe revisar la pagina, para revisar el codigo de ma misma.
para los que el link ya no funciona esta es la pagina por wayback machine y logran hacer el ejercicio
Actualizar el curso por favor, no se encuentra el ejercicio disponible en febrero 2024
No esta bien explicado como funciona burp y le tendrian que dedicar varias clases. el reto no esta optimizado e innecesario los pasos.
muy mala clase, lastima!
intruder
Muy buena clase
Muy desactualizado este video, terrible.
hackiddy
La resolución de retos con herramientas de seguridad web implica el uso de técnicas como el análisis de tráfico mediante proxies y la identificación de vulnerabilidades en aplicaciones. En el contexto del pentesting, herramientas como Burp Suite permiten interceptar, modificar y analizar las solicitudes entre el cliente y el servidor. Esto es crucial para detectar inyecciones, credenciales y datos sensibles. La práctica constante en estos entornos ayuda a desarrollar habilidades críticas para la ciberseguridad y la protección de sistemas.
📌 Instalación de Nessus Essentials (Versión Gratuita)
🔹 Descarga la versión para tu sistema operativo (Windows, Linux o macOS).
2️⃣ Instalar Nessus
🔹 Ejecuta el instalador y sigue las instrucciones.
🔹 Una vez instalado, Nessus se abrirá en tu navegador automáticamente.
3️⃣ Elegir la versión gratuita
🔹 En la pantalla de bienvenida, selecciona "Register for Nessus Essentials".
4️⃣ Obtener la clave de activación
🔹 Ingresa tu correo en el formulario de Tenable para registrarte.
🔹 Recibirás un email con tu clave de activación.
🔹 Copia la clave y pégala en Nessus cuando te la pida.
5️⃣ Descargar e instalar los plugins
🔹 Después de ingresar la clave, Nessus descargará los archivos necesarios (puede tardar unos minutos).
🔹 Espera a que termine y accede a la interfaz.
✅ ¡Listo! Ahora puedes empezar a hacer escaneos de seguridad.
