Codificación y Decodificación en Burp y ZAP
Cuando manipulamos y enviamos solicitudes HTTP personalizadas, a menudo necesitamos codificar o decodificar datos para que el servidor pueda procesarlos correctamente.
Tanto Burp Suite como OWASP ZAP incluyen herramientas internas que facilitan estos procesos.
🌐🔑 Codificación URL (URL-Encoding)
Es fundamental asegurarse de que:
-
Los datos del cuerpo estén correctamente codificados
-
Los encabezados cumplan el formato esperado
Si esto no se cumple, el servidor puede:
-
Rechazar la petición
-
Interpretar datos de manera incorrecta
-
Truncar nuestra carga útil
❗ Caracteres que deben codificarse
| Carácter | Problema si NO se codifica |
|---|---|
| Espacios | Pueden cortar el valor de un parámetro |
| & | Se interpreta como separador de parámetros |
| # | Se interpreta como inicio de un fragmento |
🧱 Burp Suite – Codificación URL
En Repeater puedes codificar texto:
- Seleccionando el texto →
Right click → Convert Selection → URL → URL-encode key characters
o más rápido:
- CTRL+U
Burp también ofrece:
-
URL-Encoding mientras escribes (se habilita desde el menú contextual)
-
Codificación completa (Full URL)
-
Codificación Unicode para parámetros complejos
⚡ ZAP – Codificación URL
ZAP suele codificar automáticamente los datos del cuerpo antes de enviarlos, aunque no siempre lo muestra explícitamente en el editor.
🔓 Decodificación
Las aplicaciones web suelen codificar datos sensibles, como:
-
Cookies
-
Tokens
-
Parámetros de formularios
-
Cadenas de consulta
Por ello es esencial poder decodificar rápidamente estos valores.
🧰 Codificaciones soportadas por Burp y ZAP
-
🔡 HTML
-
🌐 Unicode
-
🔠 Base64
-
🧮 ASCII Hex
🧱 Burp Suite – Decoder
En Burp:
Decoder tab
Ahí puedes:
-
Pegar el texto
-
Seleccionar Decode as → Base64 / Hex / URL / HTML / Unicode …
-
Ver la salida al instante
🧪 Ejemplo: Cookie en Base64
Valor observado:
eyJ1c2VybmFtZSI6Imd1ZXN0IiwgImlzX2FkbWluIjpmYWxzZX0=
Al decodificar obtenemos:
{"username":"guest", "is_admin":false}
Burp Decoder permite:
-
Re-codificar directamente desde la salida
-
Realizar varias codificaciones en cadena
Burp Inspector
Herramienta moderna integrada en:
-
Proxy
-
Repeater
-
Intruder
Permite ver decodificaciones automáticas en paralelo a la solicitud.
⚡ ZAP – Encoder / Decoder / Hash
Atajo:
CTRL+E
ZAP muestra:
-
La entrada
-
Una lista de múltiples decodificaciones simultáneas
-
El resultado para cada formato compatible
También puedes crear pestañas personalizadas para agrupar tus codificadores favoritos.
🔧 Ejemplo Completo: Modificación de Cookie
Supongamos que encontramos esta cookie:
{"username":"guest", "is_admin":false}
Podemos intentar escalar privilegios:
- Cambiar a:
{"username":"admin", "is_admin":true}
- Codificar nuevamente en Base64
Resultado:
eyJ1c2VybmFtZSI6ImFkbWluIiwgImlzX2FkbWluIjp0cnVlfQ==
- Usar esta nueva cadena en:
-
Burp Repeater
-
ZAP Request Editor
🔍 Esto nos permite probar si la aplicación confía en los datos codificados sin validarlos.