Cómo utilizar el decodificador Burp Suite

Al usar Burp Suite, a menudo puede encontrar datos que utilizan algún tipo de codificación. La codificación generalmente está diseñada para configurar los datos de modo que el sistema informático pueda manejarlos, desafortunadamente, generalmente hace que sea imposible, o al menos difícil de leer. En algunos casos, los datos se pueden decodificar de nuevo a una forma legible por humanos, pero en otros casos, los datos codificados ya eran aleatorios y no producirán resultados inteligibles. Burp incluye una herramienta llamada "Decodificador" para ayudar a decodificar los datos para que pueda ver lo que dicen, o si no contienen datos legibles por humanos.

Cómo decodificar datos

Para agregar datos al Decodificador, puede escribirlos manualmente, pegarlos desde el portapapeles o puede hacer clic con el botón derecho en las pestañas Destino, Proxy, Intruso o Repetidor y hacer clic en "Enviar al decodificador". Puede hacer esto con solicitudes completas; sin embargo, generalmente será más útil limitarlo a los datos que desea decodificar resaltándolos antes de hacer clic con el botón derecho.

Haga clic derecho en los datos que desea decodificar, luego haga clic en "Enviar a decodificador".

Una vez que tenga los datos en Decoder, puede decodificarlos haciendo clic en el botón "Decodificar como" a la derecha y seleccionando el esquema de codificación que cree que está usando. Todas las opciones funcionarán para cualquier entrada, pero es posible que no produzcan caracteres imprimibles, lo que generalmente significa que no estaba usando esa codificación o que los datos se generaron al azar.

Las codificaciones entre las que puede elegir son Plain, URL, HTML, Base64, ASCII hex, Hex, Octal, Binary y Gzip. Seleccione uno de estos en el cuadro desplegable y Burp mostrará la salida en un nuevo cuadro a continuación. La nueva caja viene con su propio conjunto de controles idénticos, por lo que si encuentra que la salida aún está codificada, puede decodificarla nuevamente, incluso si el tipo de decodificación es diferente. Por ejemplo, si decodifica una cadena Base64 y encuentra otra cadena Base64, también puede decodificarla.

Consejo: puede encadenar varios niveles de decodificación; no está limitado a solo una o dos etapas.

Puede decodificar datos y luego decodificar el resultado nuevamente, si hay varios niveles de codificación.

Cómo codificar datos

También puede utilizar Decoder para codificar datos en todos los métodos de codificación disponibles haciendo clic en "Codificar como" y seleccionando un método de codificación. Esto es útil si necesita decodificar una cadena, modificarla y luego volver a codificarla para insertar el cambio en una solicitud web.

Consejo: la codificación no es particularmente inteligente; por ejemplo, los caracteres alfanuméricos no necesitan codificarse en las URL, ya que son caracteres válidos, pero el codificador de URL codificará todos los caracteres.

También puede generar un hash de una cadena haciendo clic en "Hash" y luego seleccionando un algoritmo. Burp no ofrece una forma de revertir un hash, ya que esto no es posible porque los hash son funciones unidireccionales.

Consejo: cualquier combinación de decodificación, codificación y hash es posible con Decoder, aunque algunas órdenes de operación no tendrán sentido lógico.

También puede utilizar Decoder para codificar datos o codificarlos.

Puede decodificar, codificar o hash una parte de una cadena en Decoder resaltándola antes de seleccionar cómo debe manejarse. Esto es útil si tiene dos variables codificadas con métodos diferentes.

Nota: El decodificador no admite subpestañas, por lo que solo puede administrar una entrada a la vez. Tenga cuidado de copiar el resultado de un proceso antes de enviar más datos a Decoder, a menos que esté de acuerdo con perderlos.