Alternatives a BurpSuite - Caido Web Proxy
Celia Catalán
En el moment de realitzar auditories webs sempre solem pensar a BurpSuite que és l'eina per excel·lència, però mai s'ha pensat en altres alternatives?
Sabem que si parlem de pentest web les eines més destacades són OWASP ZAP i BurpSuite, ambdues àmpliament utilitzades i reconegudes per la seva eficàcia i funcionalitat. Recentment, ha sorgit una nova eina al panorama: Caido, un proxy que promet innovacions i millores en diversos aspectes. Aquest post té com a objectiu comparar Caido directament amb OWASP ZAP i BurpSuite, avaluant els seus avantatges i desavantatges per ajudar-vos a triar aquella que millor compleixi els requisits de les vostres auditories.
Caigut?
Sí, Caigut. Aquest proxy està programat a Rust i té una sèrie d'opcions i característiques molt interessants. Igual que altres proxies, està basat en projectes, on l'usuari pot fer modificacions específiques depenent del projecte en què estigui treballant. Tot i això, Caido permet canviar de projecte sense necessitat de reiniciar l'aplicació:
Una altra opció molt útil de Caido són els “workflows”. Aquests fluxos permeten a l'auditor automatitzar processos d'una manera senzilla i visual, realitzant determinades accions sobre la base del contingut de la petició realitzada o la resposta obtingut, executant mòduls locals depenent de determinats paràmetres a la petició/resposta interceptada:
Una altra característica de Caido és el seu assistent, a qui es té accés un cop obtingut el pla de pagament. Aquest assistent es tracta d'una intel·ligència artificial LLM (model de llenguatge de grans dimensions), que ajuda l'auditor en les proves de pentest web:
Característiques Principals de Caigut, OWASP ZAP i BurpSuite
Caigut
Com s'ha demostrat a la secció anterior, Caido és una eina innovadora dissenyada per ser simple i eficaç. Les seves característiques principals inclouen:
- Interfície d'usuari: Caido ofereix una interfície moderna i simplificada, facilitant la navegació i l'ús fins i tot per a usuaris menys experimentats.
- Automatització: Incorpora capacitats avançades d'automatització per a proves de penetració, reduint la intervenció manual i accelerant els processos.
- Integració: Està dissenyat per integrar-se fàcilment amb altres eines i sistemes, permetent més flexibilitat en el seu ús.
- Acompliment: Es destaca per ser eficient, manejant grans volums de trànsit sense comprometre la velocitat.
OWASP ZAP
OWASP ZAP (Zed Attack Proxy) és una de les eines de l'àmbit de la seguretat d'aplicacions web, especialment coneguda per ser codi obert. Les seves característiques principals inclouen:
- Interfície d'usuari: ZAP ofereix una interfície robusta, però pot ser intimidant per als nous usuaris a causa de la seva quantitat de configuracions.
- Automatització i Scripts: ZAP permet la creació de scripts personalitzats per automatitzar proves específiques, encara que requereix coneixements tècnics més avançats.
- Escaneig de Vulnerabilitats: Inclou un potent motor d'escaneig per identificar diverses vulnerabilitats.
- Comunitat i Suport: La comunitat d'usuaris i desenvolupadors de ZAP és molt activa, proporcionant suport, documentació i actualitzacions constants.
BurpSuite
BurpSuite és una eina de PortSwigger àmpliament reconeguda per la seva capacitat i eficàcia en proves de seguretat. Les seves característiques principals inclouen:
- Interfície d'usuari: BurpSuite ofereix una interfície intuïtiva i rica en funcionalitats, adequada tant per a principiants com per a experts.
- Eines Integrades: Integra una sèrie d'eines, com ara escàner de vulnerabilitats, repetidors, i eines d'anàlisi de trànsit HTTP/HTTPS.
- Extensions i Automatització: BurpSuite permet la instal·lació d'extensions i l'automatització de tasques complexes, facilitant personalitzacions avançades.
- Suport i Documentació: La versió professional de BurpSuite ve amb suport tècnic dedicat i documentació extensa, encara que a canvi d'un cost considerable.
