🤮BURP SUITE
mejores módulos y extensiones de Burp Suite, así como scripts de GitHub, que son útiles para pentesters. Cada uno tiene su propia funcionalidad, y se pueden combinar según las necesidades específicas de tu prueba de penetración.
Módulos de Burp Suite:
Burp Intruder:
Función: Automatiza ataques de fuerza bruta, diccionario y otros ataques.
Uso: Selecciona una solicitud en el historial, elige el tipo de ataque, configura las opciones y ejecútalo.
Burp Scanner:
Función: Escanea automáticamente aplicaciones web en busca de vulnerabilidades.
Uso: Configura los ajustes del escáner y ejecútalo contra el objetivo.
Burp Repeater:
Función: Permite repetir, modificar y enviar peticiones al servidor para probar variaciones.
Uso: Selecciona una solicitud en el historial, abre Repeater, modifica según sea necesario y reenvía.
Burp Sequencer:
Función: Analiza la entropía de tokens y sesiones para identificar posibles debilidades.
Uso: Captura tokens o sesiones, ejecuta el análisis en Sequencer y revisa los resultados.
Burp Decoder:
Función: Decodifica o codifica datos en diferentes formatos (Base64, URL, etc.).
Uso: Ingresa los datos, elige el formato y aplica la decodificación o codificación.
Extensiones de Burp Suite (BApp Store):
Autorize:
Función: Automatiza la autorización de solicitudes, facilitando la inclusión de tokens.
Uso: Configura reglas de autorización para omitir solicitudes que no requieren autenticación.
CO2 Extension:
Función: Agrega funciones de colaboración y comunicación a través de Burp Suite.
Uso: Facilita la colaboración en equipo al proporcionar comentarios y comunicación en tiempo real.
HUNT Suite:
Función: Conjunto de herramientas para la identificación de vulnerabilidades y pruebas de penetración.
Uso: Proporciona varias funciones, incluyendo identificación de tecnologías, escaneo de subdominios, etc.
Scripts de GitHub para Burp Suite:
Param Miner:
GitHub: Param Miner
Función: Identifica y extrae parámetros ocultos en aplicaciones web.
Uso: Agrega el script a Burp Extender y ejecútalo contra solicitudes.
Backslash Powered Scanner:
GitHub: Backslash Powered Scanner
Función: Escanea aplicaciones en busca de vulnerabilidades específicas relacionadas con SSO.
Uso: Instala como extensión de Burp y ejecuta el escáner.
ActiveScan++:
GitHub: ActiveScan++
Función: Mejora el escáner activo de Burp Suite, aumentando la detección de vulnerabilidades.
Uso: Agrega el script a Burp Extender y ejecútalo como parte del escaneo activo.
Recuerda que debes revisar la documentación específica de cada herramienta, extensión o script para entender completamente su funcionalidad y cómo integrarlos en tu flujo de trabajo de prueba de penetración.
más extensiones de Burp Suite desde la BApp Store y scripts de GitHub que pueden ser útiles en pruebas de penetración:
Extensiones de Burp Suite (BApp Store):
Swagger Parser:
Descripción: Analiza y renderiza documentación Swagger directamente dentro de Burp Suite.
Enlace: Swagger Parser
JSON Web Tokens (JWT) Decoder:
Descripción: Decodifica y muestra información detallada sobre tokens JWT.
Enlace: JWT Decoder
CORS Misconfigurations:
Descripción: Detecta configuraciones erróneas de CORS (Cross-Origin Resource Sharing).
Enlace: CORS Misconfigurations
Software Version Reporter:
Descripción: Identifica la versión del software en respuestas HTTP y proporciona enlaces a la información de vulnerabilidades.
Enlace: Software Version Reporter
AuthMatrix:
Descripción: Visualiza y prueba configuraciones de control de acceso y autenticación.
Enlace: AuthMatrix
Scripts de GitHub para Burp Suite:
Parameth:
GitHub: Parameth
Descripción: Encuentra, identifica y realiza enumeración de parámetros en solicitudes web.
Uso: Ejecútalo como un script independiente fuera de Burp para realizar análisis de parámetros.
Burp Suite Logger++:
GitHub: Burp Suite Logger++
Descripción: Mejora la funcionalidad de registro de Burp Suite con características adicionales.
Uso: Clona el repositorio y sigue las instrucciones para integrarlo con Burp.
BurpSuiteXMLDecoder:
GitHub: BurpSuiteXMLDecoder
Descripción: Decodifica contenido XML en Burp Suite.
Uso: Sigue las instrucciones en el repositorio para instalar y usar la extensión.
Burp Non-HTTP Extension:
GitHub: Burp Non-HTTP Extension
Descripción: Agrega soporte para protocolos no HTTP en Burp Suite.
Uso: Consulta la documentación del repositorio para instrucciones de instalación y uso.
Extensiones de Burp Suite (BApp Store):
SAML Raider:
Descripción: Herramienta para la manipulación y el ataque de mensajes SAML.
Enlace: SAML Raider
Header Analyzer:
Descripción: Analiza y destaca información importante en los encabezados HTTP.
Enlace: Header Analyzer
Reflected Parameters:
Descripción: Identifica y resalta parámetros reflejados en respuestas.
Enlace: Reflected Parameters
Burp Suite Collaborator Everywhere:
Descripción: Integra Burp Collaborator en todas las solicitudes para identificar interacciones con el servidor Collaborator.
Enlace: Collaborator Everywhere
Scripts de GitHub para Burp Suite:
BurpCrypto:
GitHub: BurpCrypto
Descripción: Realiza la extracción y descifrado de secretos y claves criptográficas.
Uso: Sigue las instrucciones del repositorio para la instalación y ejecución.
Burp-Session-Token-Renewal:
GitHub: Burp-Session-Token-Renewal
Descripción: Renueva automáticamente tokens de sesión para evitar expiraciones.
Uso: Sigue las instrucciones del repositorio para la instalación y configuración.
Burp SmartBuster:
GitHub: Burp SmartBuster
Descripción: Mejora el extensor de palabras comunes para realizar ataques de fuerza bruta más efectivos.
Uso: Clona el repositorio y sigue las instrucciones para su integración con Burp.
Estas herramientas adicionales pueden mejorar aún más tus capacidades en Burp Suite al abordar áreas específicas de las pruebas de seguridad web. Asegúrate de revisar la documentación y seguir las instrucciones proporcionadas para su instalación y configuración.
Last updated