purpl3bl0g

🐾 Bienvenid@ al mundo de l1ttl3bugc4t 🐾

Burp Suite: Tu laboratorio de pruebas web en una sola herramienta

May 20, 2025

Si alguna vez soñaste con inspeccionar, interceptar y manipular el tráfico de una aplicación web en tiempo real…
Burp Suite es tu varita mágica de pentesting web. 🪄🕸️

🌐 ¿Qué es Burp Suite?

Burp Suite es una plataforma integrada para realizar pruebas de seguridad en aplicaciones web.
Te permite interceptar, modificar, automatizar y analizar tráfico HTTP/HTTPS para encontrar vulnerabilidades como XSS, SQLi, CSRF, IDOR y más.

💡 Desarrollada por PortSwigger, es una de las herramientas más usadas por pentesters y bug bounty hunters.

🛰️ ¿Para qué sirve Burp Suite?

  • 🔍 Interceptar peticiones y respuestas HTTP/HTTPS
  • 🧪 Manipular parámetros, cabeceras y cookies
  • 🕵️‍♀️ Detectar vulnerabilidades web (automático o manual)
  • 🧰 Automatizar escaneos pasivos y activos
  • 💥 Realizar ataques personalizados (fuerza bruta, fuzzing, etc.)

🐾 Componentes principales

Herramienta ¿Qué hace?
Proxy Intercepta tráfico entre navegador y servidor
Repeater Permite modificar y repetir peticiones
Intruder Realiza ataques automatizados como fuerza bruta o fuzzing
Scanner (Pro) Detecta vulnerabilidades automáticamente
Decoder Codifica/decodifica datos (Base64, URL, etc.)
Comparer Compara respuestas HTTP
Extender Añade funcionalidades con plugins o scripts BApp

🧪 ¿Cómo se usa?

  1. Configura el navegador para que use el proxy de Burp (por defecto: 127.0.0.1:8080)
  2. Instala el certificado de Burp para HTTPS
  3. Abre Burp y activa el intercept (Proxy > Intercept > On)
  4. Navega en la web objetivo y Burp capturará todo el tráfico
  5. Usa Repeater para modificar manualmente
  6. Usa Intruder para ataques automatizados (ej. brute force, fuzzing)

💡 Ejemplos comunes con Burp

  • Interceptar login y probar credenciales
  • Buscar parámetros vulnerables a XSS
  • Automatizar pruebas de SQLi
  • Enumerar archivos ocultos con Intruder + lista de paths
  • Comparar respuestas antes/después de manipular tokens

🔐 Uso ético y precauciones

  • Nunca uses Burp en aplicaciones sin permiso
  • ✅ Ideal para pruebas en laboratorios, entornos locales o programas de bug bounty autorizados
  • ⚠️ Puede revelar datos sensibles: ¡sé cuidadosa con lo que interceptas y almacenas!

🐱‍💻 Buenas prácticas hacker

  • Usa Burp junto con extensiones como Autorize, Logger++, Turbo Intruder, JWT Editor
  • Guarda tu configuración y proyectos con frecuencia
  • Apóyate en ZAP o herramientas CLI cuando necesites algo más ligero
  • ¡Recuerda desactivar el proxy cuando termines! 😹

🚩 Conclusión Galáctica

Burp Suite es como tu laboratorio de pruebas web personal: poderoso, intuitivo y altamente configurable.
Dominarlo te abre las puertas del hacking web profesional (y del bug bounty también). 💻✨

🐾 “Si puedes interceptarlo, puedes entenderlo. Si puedes entenderlo, puedes romperlo.”l1ttl3bugc4t