Cuando usa Burp Suite, a menudo se encuentra con datos que usan codificación. La codificación se usa generalmente para configurar los datos para que el sistema informático pueda manejarlos. Desafortunadamente, generalmente es imposible, o al menos difícil de leer. En algunos casos, los datos se pueden volver a codificar en una forma legible por humanos, en otros casos, los datos codificados ya eran aleatorios y no producen resultados inteligibles. Burp incluye una herramienta llamada «decodificador» que le permite decodificar datos para que pueda ver lo que contiene o si no contiene datos legibles por humanos.
Cómo decodificar datos
Para agregar datos al Decodificador, puede ingresarlos manualmente, pegarlos desde el portapapeles o hacer clic con el botón derecho en las pestañas Destino, Proxy, Intruso o Repetidor y hacer clic en Enviar al decodificador. Puede hacer esto con solicitudes completas; En general, sin embargo, es más útil limitarlo a los datos que desea decodificar resaltándolos antes de hacer clic con el botón derecho.
Una vez que tenga datos en el decodificador, puede decodificarlos haciendo clic en el botón ‘Decodificar como’ a la derecha y seleccionando el esquema de codificación que cree que se utilizará. Todas las opciones funcionan para cualquier entrada, pero es posible que no produzcan caracteres imprimibles. Esto generalmente significa que esta codificación no se utilizó o que los datos se generaron de forma aleatoria.
Las codificaciones que puede elegir son Plain, URL, HTML, Base64, ASCII-Hex, Hex, Octal, Binary y Gzip. Seleccione uno de estos en el cuadro desplegable y Burp mostrará el resultado en un nuevo cuadro a continuación. La nueva caja tiene su propio conjunto de controles idénticos. Entonces, si encuentra que la salida todavía está codificada, puede decodificarla nuevamente incluso si el tipo de decodificación es diferente. Por ejemplo, si decodifica una cadena Base64 y encuentra otra cadena Base64, también puede decodificarla.
Consejo: puede encadenar varios niveles de decodificación. No está limitado a solo uno o dos niveles.
Cómo codificar datos
También puede utilizar decodificadores para codificar datos en cualquiera de los métodos de codificación disponibles haciendo clic en Codificar como y seleccionando un método de codificación. Esto es útil cuando necesita decodificar, cambiar y luego volver a codificar una cadena para incluir el cambio en una solicitud web.
Consejo: la codificación no es particularmente inteligente. Por ejemplo, los caracteres alfanuméricos no necesitan estar codificados en las URL porque son caracteres válidos. Sin embargo, el codificador de URL codifica cada carácter.
También puede generar un hash de una cadena haciendo clic en Hash y luego seleccionando un algoritmo. Burp no proporciona una forma de revertir un hash, ya que no puede hacerlo porque los hash son funciones unidireccionales.
Consejo: cualquier combinación de decodificación, codificación y hash es posible con un decodificador, aunque algunas secuencias operativas no tienen sentido lógico.
Puede decodificar, codificar o hash parte de una cadena en Decoder resaltándola antes de elegir cómo tratarla. Esto es útil cuando tiene dos variables codificadas usando métodos diferentes.
Nota: el decodificador no admite subpestañas, por lo que solo puede administrar una entrada a la vez. Asegúrese de copiar el resultado de un proceso antes de enviar más datos a los decodificadores, a menos que pueda perderlos.
