Redsys PSD2 Request Signer

He desarrollado una extensión para BurpSuite orientada a automatizar la firma de peticiones en integraciones con Redsys. Este tipo de entornos suelen añadir múltiples capas de integridad en cada request (firmas, hashes, validaciones adicionales), lo que hace que trabajar manualmente con ellas sea bastante tedioso.

La extensión nace precisamente de esa necesidad: evitar tener que recalcular firmas a mano en cada modificación de petición. En escenarios reales, donde estás probando distintos vectores o manipulando parámetros, este proceso manual se convierte rápidamente en un cuello de botella.

El funcionamiento es sencillo: intercepta las peticiones relevantes y se encarga de recalcular automáticamente las firmas necesarias para que sigan siendo válidas tras cualquier cambio. De esta forma, se puede centrar el esfuerzo en el análisis y no en repetir tareas mecánicas.

Después de desarrollarla y usarla en entorno real, la extensión ha sido aprobada y publicada en el BApp Store de PortSwigger, por lo que ya está disponible públicamente.

Reflexiones

Este proyecto surgió básicamente para dejar de sufrir. Trabajar con Redsys a mano, con varios checks de integridad por petición, era como el castigo de Sísifo: recalculas la firma, todo cuadra, haces un cambio mínimo… y vuelta a empezar desde cero. Una y otra vez, sin fin.

Automatizar este proceso ha sido quitar esa piedra de encima (literalmente). En lugar de perder tiempo rehaciendo firmas constantemente, ahora puedo iterar rápido, probar cosas sin fricción y centrarme en lo que realmente importa.

En resumen, menos empujar piedras cuesta arriba y más romper cosas con sentido.