Dejamos abierto Burp Suite en su pestaña "Proxy"/"Opciones"
Dentro de la pestaña "Proxy" dejamos opciones y pulsamos la primera pestaña "Intercept".
Aquí iremos viendo las peticiones de paquetes de datos que hace nuestro terminal de telefono o tablet y aparte de analizarlos podremos darles paso con el botón "Forward" a que lleguen y se carguen en nuestro Smartphone o cortar la comunicación simplemente con el botón "Drop".
Toda web o aplicación bien protegida no nos mostrará la comunicación al detectar un proxy intermedio no seguro, o si nos ofrece algo será algo no relevante o debidamente encriptado.
Debido a esto y con el sentido de poder mostrar algo visible, he elegido una web, también disponible en app, española llamada "Comuniame" que podemos definir como una especie de juego a tiempo real (simulador) de la liga española, que no está bien protegido y que nos dará mucho juego para el ejemplo, ya que permite transacciones de dinero no real, fichajes de jugadores, etc., y por tanto tiene mucho transito de datos.
Con Burp Suite abierto en mi ordenador, abro dicha web o aplicación el mi Iphone.
Si nos fijamos en Burp Suite, ya estará interceptando tráfico.
Habrá momentos en que la web/aplicación no termina de cargar en el Smartphone. Si nos fijamos en Burp Suite, el botón "Forward" estará iluminado en naranja, cada vez que lo pulsemos estaremós dejando pasar ese paquete de datos y así vamos viendo y estudiando las diferentes peticiones y dejando que cargen en el movil, si no pulsamos hasta que "Forward" deje de iluminarse en repetidas ocasiones, no dejaremos de pasar todos los datos y por tanto no terminarán de cargarse nunca en Smartphone, llegando en muchos casos a dar un error por retardo de información.
Como vemos, lo primero que nos encontramos en la App, es un identificador en el que iniciar sesión.
Yo ya he creado una cuenta con anterioridad con la intención de realizar la prueba, así que pulso que "Ya tengo cuenta" y paso a identificarme.
Introduzco usuario y contraseña.
Si en Burp Suite hemos ido pulsando "Forward" y no tenemos ningun paquete de datos pendiente, al pulsar "Iniciar Sesión" en la App mandará un paquete con la identificación de usuario que pasará por nuestro proxy.
Está información sería la petición, y como podemos ver entre todos los datos enviados, ahí tenemos en la última línea, email y password.
Si esto fuese captado por una tercera persona, podría acceder a nuestra cuenta, ya que posee nuestras credenciales.
Como podemos ver, si pulsamos "Forward" los datos siguen su curso y la app validará el acceso.
Igual que podemos visualizar los datos, también podemos modificarlos a nuestras anchas.
Dentro de la App, en los pequeños simbolos que vemos en la parte superior hay uno que son dos flechitas. Teoricamente si lo pulso y accedo, en ese apartado puedo realizar fichajes de jugadores.
Veo que me salen varios, voy a elegir uno al azar y voy a darle a comprar por el precio que indica.
Según vemos su valor ficticio es "2.350.000". Damos a aceptar.
Vamos a ver que nos ofrece Burp Suite.
Yo voy a buscar si en algún lugar de toda esta información encuentro algún valor que indique justamente "2350000" o algo así.
Si nos fijamos en la última línea de datos ahí lo tenemos. "amount" : 2350000
Pues bien, voy a intentar modificar este valor. Lo selecciono y voy a cambiarlo por lo que sea.
Ahora para ver que efecto causa en la app si es que causa alguno, pulso "Forward".
Y cual es la sorpresa cuando en la App nos devuelve esto:
Podemos ver el peligro que esto acarrearía de tratarse de otra app con datos reales, si estuviese igual de protegida que esta y alguien interceptara nuestros datos.
Vemos que podemos cambiar datos, al igual que interceptar información no encriptada.
Salimos de la sesión de la App.
Volvemos a intentar iniar sesión.
Metemos unos valores al azar y son los que nos muestra Burp Suite.
Si pulsamos "Forward" la app nos denegará el acceso, ya que las credenciales son falsas y no validas.
Pero si no pulsamos "Forward", solo tendremos que cambiar los valores de la última línea (email y password) por los capturados con anterioridad y ahora si pulsamos el resultado cambiará por completo.
Para finalizar, vamos a ver un breve ejemplo con una App que a pesar de ser bastante más segura que la anterior y no ofrecer información a priori, como es "Waze" la App de navegación...
En el único paquete que es capaz de captar nuestro Burp Suite, que sería el primero, un paquete de información de aplicación sin ninguna importancia ni relevancia para nuestra integridad (a priori) comete un fallo escapandosele un dato.
Como podemos ver en la línea resaltada, "locatión", se indica una numeración.
Esa numeración, son cordenadas.... la de nuestra ubicación actual.
Si copiamos esta númeración según está y la colocamos en google:
Burp Suite - Auditando tráfico en un Smartphone (Parte 1)
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.