O que é o Burp Suite? O Burp Suite é uma ferramenta (em versão grátis e paga) de teste de segurança voltada para aplicações web. O Burp Suite possuí uma série de ferramentas capazes de ajudar a descobrir falhas de segurança em websites, o que permite que, ao serem descobertas, essas falhas sejam rapidamente corrigidas. A Vulnerabilidade: O que permite que sejamos capazes de entrar facilmente em várias contas de usuários em vários websites se dá por dois descuidos: um por parte de quem desenvolveu a aplicação web, que não implementou um filtro que limite o número de tentativas de login em um determinado período de tempo, dificultando e até mesmo impossibilitando ataques de bruteforce (que é, basicamente, um ataque que utiliza um programa para testar inúmeras autenticações, até que se descubra uma que dê certo, veremos como isso funciona mais adiante), e outra por parte do próprio usuário, que cria uma conta no website utilizando uma senha fraca. Tutorial: Utilizaremos o ambiente de testes Mutillidae para demonstrar o ataque. Primeiramente, vamos fazer alguns testes iniciais no próprio website. Vá até a área de login do Mutillidae:

Agora, teste usuários e senhas aleatórios várias vezes. Observe que você é capaz de tentar fazer login quantas vezes você quiser, sem que o website te bloqueie por um determinado período de tempo. Isso por si só já é uma vulnerabilidade grave, pois mesmo que as senhas dos usuários não sejam tão óbvias, ainda assim existem boas chances de você obter acesso se você tiver paciência o bastante para ficar vários dias executando tentativas de login por bruteforce. Existe também uma segunda observação importante:

Observe que, no caso do Mutillidae, o website até te deu uma dica, dizendo que a conta de usuário não existe. Vamos tentar logar agora com um nome de usuário válido. Podemos encontrar nomes de usuários válidos na área “Add to your blog”:

Clique em “View Blogs”:

Nesta