Saltar a contenido

03.-Burp Suite proxy

Burp Suite Proxy

Burp Suite es un proxy de interceptación desarrollado por la compañía PortSwigger (Burp Suite), utilizado ampliamente en pruebas de seguridad web y análisis de tráfico HTTP/HTTPS.

Se distribuye en dos versiones:

  • Burp Suite Community Edition (gratuita): Incluye funcionalidades básicas, pero tiene limitaciones.
  • Burp Suite Professional (de pago): Ofrece herramientas avanzadas como el escáner automático de vulnerabilidades y acceso a plugins adicionales.

Limitaciones de la versión gratuita (Community Edition)

  • ❌ No permite guardar sesiones, por lo que el historial de tráfico HTTP se pierde al cerrar la aplicación.
  • ❌ No incluye el escáner automático de vulnerabilidades.
  • ❌ No permite usar ciertos plugins avanzados.
  • ❌ La función de repetición de peticiones HTTP ("Repeater") introduce un retraso artificial, dificultando ataques automatizados.

📌 Nota: Existe una versión de prueba gratuita (Trial) de la edición Pro, que permite evaluar sus funciones avanzadas.

Uso de Burp Suite

Al iniciar Burp Suite, se pueden configurar varias opciones a través de la pestaña "Proxy", donde se encuentran las herramientas principales de interceptación y análisis de tráfico web.

image-20250220164214864

Burp Suite incorpora un navegador basado en Chromium, que:

  • Omite la validación de certificados SSL del proxy, evitando alertas de seguridad.
  • Desactiva protecciones de seguridad que pueden interferir en las pruebas.
  • Facilita la auditoría, ya que no es necesario modificar manualmente la configuración del navegador.

Para iniciar el proxy:

  1. Ir a la pestaña "Proxy".
  2. Activar la opción "Intercept" para capturar y modificar peticiones HTTP.

Interceptación de peticiones HTTP

  • Si se usa el navegador integrado, Burp Suite no mostrará errores de certificado.
  • Si se usa otro navegador, es necesario aceptar manualmente la advertencia del certificado SSL o instalar la CA de Burp Suite como entidad certificadora confiable.

image-20250220164651753

Modificación de peticiones/respuestas

  • Para modificar peticiones HTTP, se debe habilitar la opción "Intercept" en la pestaña "Proxy".
  • Burp Suite presentará la petición capturada en un formato editable antes de reenviarla al servidor.

Funcionalidades avanzadas

Burp Suite ofrece herramientas avanzadas como:

  • Inspector de peticiones
  • Organiza los datos de las solicitudes HTTP (cabeceras, parámetros, cookies).
  • Permite modificar datos y asegurarse de que los caracteres especiales se codifiquen correctamente.
  • Intruder (solo en versión Pro)
  • Automatiza ataques como fuerza bruta, SQL Injection y ataques a autenticación.
  • Scanner (solo en versión Pro)
  • Detecta automáticamente vulnerabilidades en aplicaciones web.

Más información

Para aprender más sobre Burp Suite, puedes ver un video tutorial oficial del equipo de PortSwigger: 🎥 Video de introducción a Burp Suite

Conclusión

Burp Suite es la herramienta más utilizada en auditorías de seguridad web. Su capacidad para interceptar, modificar y analizar tráfico HTTP/HTTPS la convierte en una opción esencial para pentesters y profesionales de ciberseguridad.