// RETO CTF 18

Auditoría Web Avanzada

Has interceptado tráfico hacia una API bancaria. Necesitas configurar Burp Suite correctamente para ejecutar tus ataques. Responde a las 3 preguntas de configuración del proxy.

Tienes un formulario con user=§U§ y pass=§P§. Quieres probar todas las combinaciones posibles cruzando tu lista de usuarios con tu lista de contraseñas. ¿Qué tipo de ataque ("Attack Type") del Intruder debes seleccionar?

Has notado que la API emite una cookie llamada AuthToken. Tienes dudas de si está generada criptográficamente segura. ¿A qué pestaña principal (módulo) de Burp Suite enviarías la petición para analizar matemáticamente la entropía y aleatoriedad del token?

Necesitas testear vulnerabilidades IDOR y escalada de privilegios repitiendo automáticamente tus peticiones de Admin como si fueras un usuario raso. ¿Cuál es la extensión más famosa del BApp Store que hace esto?