essa ferramenta aqui é uma das Ferramentas favoritas pelos hackers profissionais que hackeiam sites exploram falhas em sites inclusive 90% do tempo que eu tô hackeando um site analisando ele eu tô utilizando essa ferramenta eu tô com ela aberta lado a lado no meu computador muitas vezes o site que eu quero hackar em um monitor e ela do outro lado porque essa ferramenta ela é como se fosse um Hub que tem várias funcionalidades desde analisar requisições de sites escanear falhas testar falhas de segurança e muitas outras coisas essa daqui é uma ferramenta matadora pro seu processo de hacking e eu tô falando do burp Suit nessa aula eu vou te mostrar como utilizar todas as ferramentas que o burp Suit te proporciona e como aplicar elas no seu processo de hacking inclusive analisar sites utilizando o burp suite então passando aqui pra minha tela e bora começar o Buff Suit ele é chamado pelos hackers até de canivete suo porque ele tem várias ferramentas que você pode analisar sites explorar sites tudo focado principalmente no protocolo http nas requisições que você envia que é o principal local que você vai hackar sites você envia uma requisição para um site edita ela utilizando o burp Suit altera os dados testa coisas e você consegue hackar uma conta postar algo em uma conta de outra pessoa hackar o site pegar algum Arquivo Confidencial tudo isso você pode fazer utilizando Buff suite testando com o burp Suit então o burp Suit aqui eu tô no no site principal deles portswigger. net você pode pesquisar no Google burp suite para acessar o site deles e entrando aqui no burp suite você vai ter e você pode vir aqui ó na port sger vir aqui em burp Sued community Edition ex tem várias versões dele existe a versão enterprise PR empresas a profissional que ela é paga ela tem algumas funcionalidades a mais que eu vou te mostrar e a community que ela totalmente gratuita entr aqui na community Você pode baixar ela então você pode colocar seu eil aqui ou clicar em ir direto pros downloads direto pros downloads você vai qual você quer comity Ed e o se computador Windows você Windows aqui ele é Mac se ele é Linux você vai selecionar no caso vou selecionar aqui o meu Mac para baixar ele clicando em download ele vai baixar o instalador Então vamos colocar aqui para instalar o bu Suit então aqui ele tá terminando de baixar o bu aqui no meu computador e aí eu vou abrir o instalador dele nesse caso eu t instalando burp no Mac mas o processo de instalação no Windows também El ele é bem simples Então vou colocar ele aqui inst lá ele processo de instalação no Windows você abre ele clica em continuar continuar ele vai te fazer algumas perguntas você pode instalar também de forma 100% segura baixando por aqui você não vai ter nenhum perigo de aprovar alguma coisa na instalação e baixar algum aplicativo que você não queria esse daqui é direto você simplesmente abre e baixa ele após baixar o burp Suit você vai ter ele aqui no seu computador vai aparecer um atalho dele então eu vou abrir ele aqui no meu computador em abrir e ele vai iniciar aqui burp Suit Então tá iniciando olha só já de cara ele vai nos perguntar se a gente quer um projeto temporário ou um projeto para você salvar e o burp Suit na comunidade no community Edition no caso ele não deixa você salvar um projeto você abre ele Analisa as coisas lembra de salvar tudo que você faz um bloco de notas utilizar o taking porque o projeto dele ele vai ser temporário caso você tenha o comunity Edition se você pagar pro pro você vai ter ele é para poder salvar então você clica em next esse daqui também clica em start burp normalmente e essa daqui é a tela inicial do burp e a principal coisa que você vê aqui são várias Abas você deve ficar até um pouquinho confuso um pouco com medo esse monte de coisa que tem aqui a gente tem Abas aqui em cima várias coisas coisas mas eu vou passar por cada uma delas por cada uma das Abas junto com você mostrando como aplicar elas no seu processo de hacking e também quando a gente for explorar falhas a gente vai utilizar algumas ferramentas aqui do burp então a principal ferramenta que a gente cai aqui é a tela inicial a dashboard e essa dashboard ela é utilizada para escanear falhas de segurança mas esse scanner de F de segurança Ele só tá ativado na versão Pro também e a gente não não vai utilizar por enquanto esse scanner então a gente pode passar dessa dessa tela do dashboard aqui em cima a gente vai ter outras ferramentas que a gente vai utilizar então aqui a gente tem o target proxy Intruder Repeater todos esses são ferramentas para análise de sites e você pode analisar requisições e assim analisando as requisições os dados você pode explorar falhas dentro dele mas a primeira coisa que você vai ter que fazer aqui é conectar o seu burp em algum navegador você pode conectar ele no seu navegador pegar o seu Google Chrome seu Firefox e conectar ele mas n versões novas do burp ele tem um navegador já pré-instalado dentro dele Você pode abrir simplesmente vou em target por exemplo clicar em Open browser ele já vai abrir automaticamente um navegador aqui dentro do seu computador então eu vou utilizar esse navegador é pr a gente poder fazer o os testes para mostrar isso para você e dentro do burp então aqui em cima a gente tem várias ferramentas aqui e eu vou pegar elas aqui olha a gente tem o target prox Intruder e Repeater vou colocar num lista aqui pra gente ir entrando dentro delas Então a gente tem target Roxy Intruder e Repeater Repeater temos o sequencer Decoder comparer várias Vamos começar com essa daqui aqui por enquanto com essas com essas ferramentas aqui com essas funcionalidades então entrando primeiramente no target quando você abrir o navegador aqui no no burp e você acessar qualquer site eu Vamos acessar o ã MercadoLivre mercadolivre. com vamos entrar dentro do mercado livre e após isso você vai ver aqui meu Deus do céu o que que aconteceu tanto de coisa essa dentro do target vai encher de várias coisas isso porque o target ele é utilizado para você mapear conteúdos do site quando você acessa um site lembra que eu disse que você faz várias requisições você faz requisição para imagem para tal coisa para pegar tal coisa código extensão e plugin de algum outro site o target ele consegue salvar todas as coisas que o Mercado Livre quando a gente entra ele tá fazendo ele tá comunicando Então se a gente vir aqui no canto vou até aumentar a fonte aqui do do do burp para ficar um pouquinho melhor que tá bem pequena a fonte V Colocar assim 17 bem melhor aqui nas configurações você pode aumentar a fonte dele vir no burp settings e vindo aqui em user interface display vou até colocar ele no modo Dark PR vocês olha só bem melhor agora a gente tá com o burp no modo Dark Então vamos lá aqui dentro do burp a gente tem e no target temos várias coisas aqui dentro Analytics P MercadoLivre api P MercadoLivre não sei o qu DS agente hotjar mercadolivre.
com também esses daqui são todos os domínios e subdomínios que o Mercado Livre tá entrando em contato quando a gente abre essa página então caso a gente fosse analisar o site a gente poderia identificar várias coisas aqui Olha que legal a gente vê que a gente tem olha só no mercado livre tem várias pastas que são carregadas aqui a gente pode ver também que foi carregado Analytics P MercadoLivre então a gente acabou de descobrir que tem um subdomínio chamado Analytics pto MercadoLivre de anális provavelmente e aqui a gente pode ver o que que foi carregado cliente de importer as aquisições aqui a gente tem uma API P MercadoLivre Olha que legal se a gente abaixar aqui a gente pode ver todas as que foram feitas essa api então quando a gente acessou o Mercado Livre ele acessou api E ai foi acessada Tod esses locais tracks component tal coisa tal coisa esse monte de coisa aqui na nossa análise no nosso processo de hacking vai ser muito importante então target el consegue mapear Tod os sites todas as requisições que estão sendo feitas quando a gente acessa um site gente for clicando mais aqui ó smartphone Samsung abrimos ele aqui olha o que que vai aparecer olha aqui um monte de coisa Analytics Analytics do tiktok sabia que tem anal Analytics do tiktok no Mercado Livre api Facebook aqui a gente pode inclusive filtrar isso um pouco se a gente quiser filtrar só para mercado livre a gente vai vir no Mercado Livre clicar aqui tá até tampando na minha câmera mas eu vou pegar algum específico aqui vou pegar o a IPI dele ver se eu encontro api api ó api MercadoLivre eu posso clicar com o botão direito e clicar em Edit scope clicar em ess E aí ele vai ser adicionado aqui no scop nós vamos poder filtrar ele aqui então clicando em algum em algum subdomínio específico algum local você pode clicar aqui Edit scope adicionar o scopo E aí vim aqui em cima clicar aqui ó e colocar em show only em scope items e aí aplicar e Olha só limpamos tudo somente o que tá em escopo se a gente quiser colocar tirar isso vai aparecer todos aqui novamente Então temos configuração do Esopo também se a gente quiser configurar mas vamos ver isso um pouquinho mais paraa frente e aqui a gente tem todas as informações que são carregadas Então esse daqui é o target ele é utilizado para poder mapear o site para mapear S subdomínios domínios que são conectados domínios conectados Api para poder ver pastas que são acessadas requisições ele vai mapear os itens do site isso que o burp o target ele vai fazer então ele vai mapear tudo isso já o prox ele é o meu favorito ele é o que eu mais utilizo isso porque quando nós entramos no site interagimos com ele você já sabe que a gente faz muitas comunicações a gente e faz várias conexões http quando você curte alguma coisa e faz algum comentário faz qualquer coisa você envia requisições e o proxy ele é capaz de quando você vamos supor que você entra no site do Mercado Livre você vai lá e entra dentro do site aqui Mercado Livre o burp ele vai se conectar no meio disso ele vai ficar nesse local e você vai poder ver todas as requisições que você tá enviando pro site você vai poder ver Por trás dos planos antes de você enviar inclusive se você quiser postar um produto do Mercado Livre Então vou postar ó vou postar um produto enviar uma requisição para postar o ele CONSEG interceptar essa requisi e ver quis dados que você tá enviando mercado livre então você tá enviando não sei o produto produto duto x você tá enviando o produto Ele tem identificadores ele tem Tais dados você consegue ver todos os dados que estão sendo enviados inclusive editar essa requisição Então se você for no mercado livre postar um produto utilizar o burp PR interceptar isso o produto ele vai ter o nome de Mouse você pode com o burp editar essa requisição editar esse nome e colocar outra coisa não sei teclado você pode editar essa requisição utilizando o burp e por isso que ele é tão utilizado por mim poros hackers no processo de encontrar falhas porque o processo de encontrar falhas de tentar hackar um site é você tentar trocar as coisas tentar alterar E se eu colocar aqui ao invés de teclado um código um código que pode quebrar o site se eu t Tent Enviar um arquivo aqui trocar reedição trocar tudo então ele é utilizado porque enquanto eu faço as coisas no site eu consigo ir trocando e testando falhas e a gente vai fazer isso com burp também então acessando aqui o proxy pra gente abrir o proxy a gente vai clicar em intercept Zone a vai clicar aqui para interceptar ele vai começar a pegar a requisição aqui no meio interceptar ela clique em interceptar eu abri aqui o site do Google por exemplo então eu tô aqui no site do Google já aberto eu vou fazer uma pesquisa técnicas de invasão E aí eu vou dar play carregar carregar carregar nada vai acontecer isso porque a gente tá interceptando essa requisição ela tá parada aqui olha que legal a gente tem uma requisição que foi interceptada por ele é como se você pedisse um produto da China do Aliexpress E aí alfandega isse lá e pegasse ele para analisar burp faz isso ele é praticamente al fand então ele vai pegar essa requisição para analisar nesse caso essa requisição você quando você entrar em contato quando você abrir um site ele vai mandar um monte de requisição muitas requisições não vão ser o que você quer e quando não é que você quer você pode clicar em forward para passar ela ó forward daqui não parece forward muito louca também forward forward for vários forward aqui vamos ver passar ah deixa eu vou desligar o Inter na verdade fazer uma coisa L técnicas de invasão porque quando eu tava pesquisando aqui no Google Olha que legal F atualizando os resultados aqui embaixo enviou um monte de requisições enquant fazer isso vou colocar técnica de invasão ligar o intercept e dar enter e agora vamos lá forward forward forward vamos ver se a gente acha olha só essa daqui é a requisição de pesquisa por que que eu sei disso que aqui em cima a gente tem search que é igual a técnicas de invasão e aqui a gente também tem cabeçalho da nossa requisição o Cook aqui em cima também E esse monte de coisas se eu trocar o que tá aqui em cima por exemplo Vamos tentar trocar vou vir aqui em aqui ó técnica de vazão vou trocar PR você uma coisa interessante também de ver aqui ó técnicas mais de invasão Então você tem que colocar um mais entre os espaços você mais foi mais hackeado eu vou clicar em forward forou até desligar você foi hackeado O que aconteceu meu computador fez uma requisição Google pesquisando técnica de vazão ele foi lá tirou isso e colocou você foi hackeado ele trocou essa requisição Então esse é o poder do burp você trocar uma requisição quando você envia ela e com isso você pode testar várias coisas enviar várias coisas então a gente pode fazer isso desde da pesquisa desde vários outros itens aqui dentro então em painéis de login quando você faz login vou tentar fazer isso no Instagram vou te mostrar o que acontece quando você loga no Instagram vou ativar o intercept colocar meu nome Andre colocar qualquer coisa Senha Secreta vou clicar em entrar a Olha só vendo olha que legal essa requisi aqui foi ap v1 web account no Instagram e aqui embaixo vou copiar para ficar um pouquinho melhor de vocês verem talvez este eues [Música] password username device records eles enviaram a minha senha criptografada aqui me username meus parâmetros eles enviaram todos os dados aqui então no burp a sequência de um requisição é aqui em cima tem o local então aa que você vai fazer requisição o host a RL aqui tem os cabeçário que eu já te mostrei do cook do user agente e aqui embaixo tem os dados que são enviados no caso de um post a gente envia esses dados aqui olha que interessante Então esse aqui é o poder do proxy alterar as coisas quando você envia para algum site Então temos aqui matamos o proxy então Vimos a Target o proxy também que a gente vai utilizar bastante para explorar as falhas ele consegue editar a requisição antes dela chegar ele edita uma requisição antes dela chegar no site no alvo ela consegue fazer isso então is é o poder do proxy já o Intruder ele faz uma uma coisinha um pouco diferente eu vou eu vou pular ele e eu vou ir direto pro Repeater Repeater e o prox eles se complementam eles fazem uma coisa um pouquinho parecida o Repeater o nome dele é repetidor isso porque quando você edita uma requisição aqui você simplesmente edita ela e passa você não consegue editar e enviar ela mais de uma vez Então o Repeater el CONSEG fazer várias requisições você CONSEG analisara com mais cuidado Vamos ver isso na prática vou fazer aquele mesmo esquema de pesquisa do Google google. com vou desligar aqui técnicas de invasão E aí vou ligar o intercept da Play E aí eu vou pegar a pesquisa que eu tô fazendo essa daqui e aí agora eu vou vir aqui em Action send to Repeater para enviar essa requisição pro Repeater ou eu posso fazer isso dessa forma enviar ela aqui ou eu posso vir aqui e copiar essa aração inteira e colar ela aqui tem essas duas formas então enviando aqui pro Repeater vou aumentar aqui um pouquinho enviando pro Repeater nós conseguimos vir aqui e clicar em send e ao clicar em send ele vai enviar essa requisição e nos dar a resposta aqui vai ser a requisição que a gente enviou aqui vai ser a resposta então ele consegue enviar essa requisição nesse caso ele enviou a requisição e recebeu o código da página do Google mas você pode vir aqui em render e renderizar essa página e a gente pode ir editando se a gente quiser ó editar para teste enviar Olha só foi para teste se a gente quisesse editar um cookie aqui um cookie de sessão a gente poderia se a gente quisesse editar algum dado que você envia pro Instagram pro Facebook colocar alguma falha explorar alguma falha em algum item aqui do cabeçalho você poderia então o Repeater te permite e editando as coisas teste teste um e enviando editando enviando para você poder testar requisições testar falhas Então esse é o Repeater ele é como se fosse um proxy que você consegue enviar várias vezes e o Repeater ele também tá ligado no Intruder o Repeater a tradução dele é repetidor o Intruder é intrus o Intruder a tradução dele vamos voltar aqui o Intruder o Repeater a tradução dele é repetidor o Intruder é intrus eu traduziria ele para Repeater só que enviando até dar certo porque o Intruder ele consegue fazer requisições em massa testar requisições porque no seu processo de hacking você pode testar manualmente aqui testar as falhas testar uma coisa uma coisa aqui uma coisa aqui mas muitas falhas elas são muito de tentativa e erro e você vai poder colocar listas de testes testar 100 vezes 1000 vezes utilizando algumas listas aqui e você pode fazer isso utilizando Intruder se eu vi aqui no proxy e ao invés de enviar pro Repeater eu enviar pro Intruder V aqui olha só ele vai começar com um monte de de coisas aqui marcadas mas eu vou clicar aqui em Clear e eu vou marcar só o que eu quero alterar da requisição Então vou vir em técnica de invasão que é o local que eu quero alterar cliquei em Ed Eita clicar em Clear aqui de novo só clicar em Ed pronto adicionamos e e a gente vai vir nessa outra página aqui chamada payloads essa outra página aqui e a gente vai poder colocar a lista de coisas que a gente quer testar a gente pode testar uma lista de coisas tipo teste técnicas de mais de não eu já coloquei esse teste Alonso eh Antônio Bruno testando várias coisas hacker hackear colocar uma lista aqui inclusive dá para colar uma Word list aqui e vim aqui clicar em start Attack depois de colar uma lista aqui dentro tá aqui no Type Simple lish se dar play Olha o que que ele vai fazer vou dar ok ele vai enviar várias requisições ao mesmo tempo e a gente pode ver até a resposta dela pode ver o que que ela respondeu e ó pesquisou Alonso Fernando Alonso pesquiso Antônio Antônio Marcos Bruno Bruno cantor hackar hacker ele enviou várias aquisições a gente pode fazer isso tanto com uma lista que prefine até uma lista que a gente cria tem várias funcionalidades que a gente pode aqui fayad que são caracteres nulos para tentar quebrar um site username generator Vou colocar aqui por exemplo números eu posso colocar selecionando números de at 100 e aqui o step é de quanto em quanto então de um de um até 100 de 10 em 10 posso fazer isso clicar em start ataque que que vai acontecer 11 11 ele vai pesquisar um monte de números no Google na resposta aqui ind no em response e render 21 31 e um sistema que a gente poderia testar várias coisas testar várias falhas isso também é muito útil tentar editar uma requisição tentar editar ela para e tentar explorar uma falha muitas vezes nessa lista aqui quando você tentar atacar ó eles mostr até o status code mas às vezes você vai tentando e uma das aquisições el dar um status code 403 negado dizer que se acessou alguma coisa que não devia ou ela acessou não sei e deu 500 que deu um no servidor o que que será que aconteceu nessa requisição então você pode testar isso e enviando requisições inclusive você pode até colocar isso não só nos parâmetros como no header até no site se você quiser enviar requisi para vários sites eu troco o host aqui em AD payloads vou colocar em Simple list vou dar Clear e eu vou enviar para e google. com YouTube com aqui tá com vírgula remove youtube.
com não sei teste. com exemplo. com se a gente vir aqui nas posições e trocar vou dar um Clear de novoar e trocar aqui o host host Se eu vir Attack ele vai enviar requisições para vários sites ele vai entrar em contato com vários sites Google exemplo aqui esquisito vamos ver host vamos ver na requisição google.
![I Replaced ALL my ADOBE APPS with these [free or cheaper] Alternatives!](https://img.youtube.com/vi/5EfqHg49kMk/maxresdefault.jpg)
![[Curso] Jupyter Notebook](https://img.youtube.com/vi/CaPMY5D2aPg/maxresdefault.jpg)
![Build a Secure Realtime Chat App in React Native [3] (tutorial for beginners) 🔴](https://img.youtube.com/vi/u7NXKu5hbbY/maxresdefault.jpg)
![PySpark Full Course [2024] | Learn PySpark | PySpark Tutorial | Edureka](https://img.youtube.com/vi/sSkAuTqfBA8/maxresdefault.jpg)
![[4K] Free VJ Loop Background. Pearl Stylish Waves Smooth Motion. Royalty Free Calm Motion Relax](https://img.youtube.com/vi/_-J5nRKxTnY/maxresdefault.jpg)
