Si está probando un sitio web con Burp Suite, hay muchos cambios que puede realizar en sus solicitudes y en las páginas web que ve. Puede configurar una serie de cambios automáticos que se realizarán en las respuestas que reciba. Las opciones se pueden encontrar en la sección «Modificación de respuesta» de la subpestaña «Opciones» de la pestaña «Proxy». Todas las ediciones de respuesta automática están diseñadas para ser útiles para las personas que prueban sitios web.
Nota: Burp Suite tiene usos legítimos como herramienta de seguridad. Debe asegurarse de tener el permiso del propietario del sitio web para probar el sitio web antes de intentar hacer algo, ya que podría estar infringiendo la ley si no lo hace, incluso si no lo hace ». Solo use su propia cuenta en un sitio web.
Las opciones de modificación automática se pueden encontrar en la sección «Modificar la respuesta» de la subpestaña «Opciones» de la pestaña «Proxy».
La primera opción es «Mostrar campos de formulario ocultos» y viene con la subopción «Resaltar campos de formulario no ocultos». Los campos de formulario ocultos suelen contener un valor de datos preconfigurado, como un ID de usuario. Estos datos deben enviarse con la solicitud, pero el usuario no necesita verlos ni modificarlos. Al mostrar los campos, puede ver más fácilmente lo que está sucediendo si cambia sus valores, estas opciones automatizan el proceso para que pueda encontrar fácilmente los campos de formulario ocultos.
«Habilitar campos de formulario deshabilitados» activa automáticamente cualquier campo de formulario que se haya deshabilitado para evitar que el usuario cambie sus valores. “Eliminar los límites de longitud del campo de entrada” elimina cualquier restricción sobre el número de caracteres que se pueden enviar a través de un campo de formulario. Esto puede causar un comportamiento inesperado en sitios web que solo esperan una cierta longitud de entrada.
«Eliminar la validación de formulario JavaScript» elimina cualquier JavaScript que valida los datos del formulario cuando se envía, lo que permite envíos de datos no válidos. «Eliminar todo JavaScript» elimina todo JavaScript de la página web. Esta opción está destinada a deshabilitar la lógica del lado del cliente. «Eliminar etiquetas
«Convertir enlaces HTTPS a HTTP» degrada automáticamente los enlaces cifrados a enlaces claros. Esto puede ser útil para probar los ataques SSLStrip y verificar que el sitio web esté actualizando las solicitudes de texto sin formato. «Eliminar bandera segura para cookies» elimina automáticamente la bandera segura para cookies que impiden que las cookies se transmitan a través de conexiones claras. Esto podría ayudar con la fuga de tokens de autenticación y otras cookies sensibles al realizar ataques de tipo SSLStrip.
La sección «Emparejar y reemplazar», justo debajo de la sección «Editar respuesta», le permite configurar reglas personalizadas para solicitudes y respuestas usando Regex. Puede reemplazar los encabezados o el cuerpo de la solicitud y la respuesta, los nombres y valores de los parámetros y la primera línea de la solicitud.
Puede configurar reemplazos automáticos personalizados con la sección «Coincidir y reemplazar» de la subpestaña «Opciones» de la pestaña «Proxy».