.

.

miércoles, 30 de marzo de 2016

Burp Suite - Auditando tráfico en un Smartphone (Parte 1)

Vamos a ver como testear en tráfico que genera un Smartphone ya sea a través de un navegador o una aplicación, a través de la herremienta Burp Suite. Esto con el objetivo de concienciarnos de la seguridad y de como dependiendo de la manera en que nos conectemos a la red y de la seguridad que tenga la Web en que navegamos o la App podemos correr ciertos peligros, como que nuestro tráfico sea capturado, modificado o inyectado.

La mayoría de las páginas web y aplicaciones tienen una serie de servicios que para comunicar con internet van generando una serie de paquetes de datos que van enviando y recibiendo y así se va generando un flujo de datos en la red. A través de estos envios de datos pues tendremos cargas de información, imagenes, etc., tendremos posibilidad de logearnos e identificarnos si ya estamos dados de alta en un servicio, o si no pues de registrarnos, etc.
Pues bien, toda esta información va viajando por la red y si la web o app en cuestión esta debidamente securizada, estos datos no serán ni visibles ni accesibles, por el contrario si no estan debidamente aseguradas estos datos viajaran visibles para quien tenga acceso a ellos.

Vamos a ver entonces como se verían estas peticiones y transito de datos a través de la red. Para ello vamos a utilizar Burp Suite, una herramienta o mejor dicho plataforma de herramientas integradas para la realización de pruebas de seguridad, busqueda, análisis y explotación de vulnerabilidades.


Yo la utilizaré como herramienta integrada dentro de Kali Linux, pero su web oficial desde la cual puede realizarse la descarga:
https://portswigger.net/burp/

Como Smartphone utilizaré un terminal Iphone 6, aunque realmente la práctica es similar para cualquier modelo o tablet.





Para realizar la configuración antes de nada, abrimos Burp suite.

Podemos ver que está estructurado en diversas pestañas, cada cual destinada a una función o actividad. En esta práctica vamos a utilizar básicamente la que nos señala "Proxy".
Abrimos la pestaña "Proxy" y vemos que justo en la línea inferior a las pestañas que ya teniamos se nos abren nuevas opciones.

 En este caso como nos muestra la siguiente imagen pulsamos opciones y la pantalla se nos llenará de información.
Lo primero que podemos ver nos indica: "Proxy Listeners". Ahí pulsamos el botón "Add" para añadir los puertos que queremos escuchar y se nos abrirá una nueva ventana.


La rellenamos como vemos en la imagen, solo introduciendo en esa primera pestaña de nombre "Binding" el puerto que queremos escuchar, que en este caso será el "8080" y le marcamos que a parte de puerto, como dirección tomamos todas las interfaces posibles "All interfaces".

Para los que aún no lo hayan entendido, el cometido de Burp Suite al utilizarlo como proxy, será el de interponerse de alguna manera entre el terminal y la red. De esta forma todas las peticiones que realicemos en este caso a través del Smartphone, por ejemplo hacer una busqueda en nuestro navegador, pasarán primero por Burp Suite.

Una vez que ya tenemos nuestras opciones rellenadas, damos "OK".
Y seleccionamos la opción que acabamos de crear poniendo un "tick" en el cuadrito de selección.


Ahora, de momento dejamos nuestro "Burp Suite" ahí como esta y cojo mi telefono.


Abro "Ajustes" o "Configuración" dependiendo del terminal.
Busco el apartado correspondiente a la configuración "Wifi" (en algunos "Redes", "Internet", etc.)
En mi caso voy a elegir mi red Wifi de casa dentro de las encontradas por mi terminal.

La selecciono y me meto en la Configuración de mi red Wifi.


Va a haber unos parametros configurados ya, pero tiene que haber un apartado que indique Proxy. Este vamos a configurarlo manualmente.
Tendremos que indicarle que utilice el puerto 8080, en la dirección IP del equipo en el que estamos utilizando Burp Suite.
En mi caso 192.168.1.39

Para saber la IP, dentro de tu equipo puedes meterte en configuración de red y averiguarla, o en el terminal de Linux mediante un "Ifconfig".









 

 Una vez introducidos estos valores en nuestro Smartphone he indicandole que se conecte a la red mediante este Wifi configurado para que navegue a través del proxy, podemos empezar a realizar las primeras pruebas.


Burp Suite - Auditando tráfico en un Smartphone (Parte 2)

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.