BUG BOUNTY en Facebook (META) – Nueva extensión de BURP SUITE

En este video presento una extensión custom de Burp Suite que desarrollé (vibecoded) para huntear vulnerabilidades en el programa de Bug Bounty de Meta, enfocada en pedidos HTTP hacia facebook.com/api/graphql.

El objetivo es resolver uno de los mayores problemas al trabajar con GraphQL en Meta: la cantidad de ruido y complejidad en los pedidos HTTP.

Esta extensión permite limpiar y minimizar automáticamente los requests, dejando solo la información relevante para el análisis y testing manual.

REPOSITORIO: https://github.com/soy-elmago/Facebook-Request-Cleaner

🔍 Funcionalidades principales:
- Limpieza automática de parámetros innecesarios
- Identificación de acciones únicas (GraphQL API actions)
- Vista simplificada del pedido HTTP
- Comparación entre request original y limpio
- Mejora en la legibilidad dentro de Burp Suite

🧪 Casos de uso:

Ideal para:
- Encontrar Broken Access Control (IDOR / BAC)
- Analizar lógica de negocio
- Manipulación de parámetros en GraphQL
- Testing manual más eficiente en endpoints complejos

⚙️ ¿Por qué es útil?

Los pedidos HTTP de Meta (especialmente en GraphQL) suelen incluir:

- Payloads extensos
- Parámetros dinámicos
- Mucho contenido irrelevante

Esto hace que el análisis manual sea lento y propenso a errores.

Con el crecimiento de la colaboración entre #PortSwigger y #Meta, optimizar el workflow de testing sobre estos endpoints es cada vez más relevante en bug bounty.

🚀 ¿Para quién es?
#bugbounty hunters que trabajan con Meta
Investigadores que analizan #graphql

Contacto y redes

👤 Alan Levy (El Mago)
Consultor en Seguridad Informática | Bug Bounty Hunter

🌐 Web personal: https://www.soyelmago.com.ar
🏢 Consultora: https://www.cintainfinita.com.ar
🐦 Twitter/X: https://x.com/soyel_mago
🎥 YouTube: https://www.youtube.com/@soy-elmago
💼 LinkedIn: https://www.linkedin.com/in/alanblevy/
🟣 Twitch: https://twitch.tv/soyelmago

Видео BUG BOUNTY en Facebook (META) – Nueva extensión de BURP SUITE канала El Mago (Alan Levy)