Share
## https://sploitus.com/exploit?id=6BE5C0DB-75A0-5C30-A83E-E762CBE284DB
# Burp Suite Security Extensions — Burp Challenge

## Objetivo

Desarrollar extensiones personalizadas para Burp Suite que automaticen pruebas de seguridad pasivas y activas mediante la monitorización del tráfico HTTP. Las extensiones implementan detección de headers de seguridad faltantes, divulgación de información, inyección SQL, XSS reflejado, exposición de datos PII (con foco en CPF brasileño) y validación de métodos HTTP.

---

## Prerequisitos

| Herramienta | Versión |
|---|---|
| Java JDK | 17 |
| Apache Maven | 3.9.15 |
| Burp Suite Professional | 2026.x |
| Python | 3.13.3 |

---

## Cómo correr el proyecto

### 1. Clonar o descomprimir el proyecto

Descomprimí cada carpeta de extensión en tu equipo. La estructura es la siguiente:

```
burp-passive-scanner/
burp-active-scanner/
burp-pii-scanner/
burp-get-checker/
test-server/
releases/
```

---

### ⚡ Opción rápida: usar los JARs precompilados

Si no querés compilar el proyecto desde cero, encontrás todos los `.jar` listos para usar en la carpeta `releases/`:

```
releases/
├── passive-security-scanner-1.0.0.jar
├── active-security-scanner-1.0.0.jar
├── pii-scanner-1.0.0.jar
└── get-checker-1.0.0.jar
```

Podés cargar directamente estos archivos en Burp Suite sin necesidad de tener Java, Maven ni compilar nada. Saltá al paso 4 para ver cómo cargarlos.

---

### 2. Compilar cada extensión

Abrí una terminal, navegá a la carpeta de cada extensión y ejecutá:

```
mvn clean package
```

Ejemplo para compilar todas:

```
cd burp-passive-scanner  && mvn clean package
cd ../burp-active-scanner && mvn clean package
cd ../burp-pii-scanner    && mvn clean package
cd ../burp-get-checker    && mvn clean package
```

Al finalizar cada compilación deberías ver:

```
BUILD SUCCESS
```

---

### 3. Dónde encontrar el JAR

Luego de compilar, el JAR listo para cargar en Burp se encuentra en la carpeta `target/` dentro de cada proyecto:

```
burp-passive-scanner/target/passive-security-scanner-1.0.0.jar   ← usar este
burp-active-scanner/target/active-security-scanner-1.0.0.jar     ← usar este
burp-pii-scanner/target/pii-scanner-1.0.0.jar                    ← usar este
burp-get-checker/target/get-checker-1.0.0.jar                    ← usar este
```

> **Importante:** en la carpeta `target/` van a aparecer dos JARs por extensión. Siempre usar el que **no** tiene el prefijo `original-`. El archivo `original-*.jar` es un intermedio generado por Maven y no contiene todas las dependencias necesarias.

---

### 4. Cargar las extensiones en Burp Suite

1. Abrí Burp Suite Professional
2. Andá a **Extensions → Installed → Add**
3. En **Extension type** seleccioná `Java`
4. Hacé clic en **Select file** y elegí el `.jar` correspondiente (ya sea de `releases/` o de `target/`)
5. Hacé clic en **Next**
6. Verificá el mensaje de éxito en la pestaña **Output**

Repetí el proceso para cada una de las 4 extensiones. Al finalizar deberías verlas todas en **Extensions → Installed**:

```
✅ Passive Security Scanner
✅ Active Security Scanner
✅ PII Scanner
✅ GET Checker
```

---

### 5. Correr el servidor de prueba (solo para GET Checker)

Para validar la extensión GET Checker se incluye un servidor Python con 5 endpoints de prueba:

```
cd test-server
python server.py
```

Luego con el proxy de Burp activo navegá a `http://localhost:8000` y enviá cada formulario.

---

## Disclaimer

Estas extensiones son para uso exclusivo en pruebas de seguridad autorizadas. Su uso contra sistemas sin permiso explícito puede ser ilegal.