Monday, July 31, 2017

Usando o Proxy pelo programa Burp



A ferramenta Proxy está no coração do fluxo de trabalho orientado pelo usuário e oferece uma visão direta de como seu aplicativo de destino funciona por dentro. Ele funciona como um servidor proxy da Web e se faz como se estivesse no meio entre o seu navegador e os servidores da Web de destino. Isso permite interceptar, inspecionar e modificar o tráfego bruto que passa em ambos os sentidos.

Solicitações e respostas de intercepção

A guia Interceptar exibe solicitações e respostas HTTP individuais que foram interceptadas pelo Burp Proxy para revisão e modificação. Esse recurso é uma parte fundamental do fluxo de trabalho direcionado pelo usuário da Burp. Revisar manualmente as mensagens interceptadas é freqüentemente a chave para entender detalhadamente a superfície de ataque do aplicativo. Os parâmetros de solicitação de modificação geralmente permitem que você identifique rapidamente vulnerabilidades de segurança comuns. As solicitações e respostas internas são exibidas em um Editor de mensagens HTTP, que contém inúmeros recursos projetados para ajudá-lo a analisar e manipular rapidamente as mensagens.

Por padrão, o Burp Proxy intercepta apenas as mensagens de solicitação e não intercepta solicitações de URLs com extensões comuns de arquivos que muitas vezes não são diretamente interessantes ao testar (imagens, CSS e JavaScript estático). Você pode alterar esse comportamento padrão nas opções de intercepção. Por exemplo, você pode configurar o Burp para interceptar apenas solicitações de escopo contendo parâmetros ou interceptar todas as respostas contendo HTML.


Além disso, muitas vezes você quer desativar a interceptação de Burp, de modo que todas as mensagens HTTP sejam encaminhadas automaticamente sem exigir a intervenção do usuário. Você pode fazer isso usando a opção de interceptação principal, na guia Interceptar.




https://support.portswigger.net/customer/portal/articles/1783119-using-burp-proxy 
https://www.udemy.com/introducao-a-ethical-hacker/?instructorPreviewMode=guest

APIs - REST API