← Volver al inicio
BurpSuite Web Proxy Interceptación OWASP

Burp Suite: Interceptación y Testing Web

05/04/2022

Burp Suite es la suite de testing de seguridad web más utilizada en pentesting. Actúa como proxy HTTP/HTTPS entre el navegador y el servidor, permitiendo interceptar, modificar y analizar todas las peticiones.

1. Configuración inicial

Configurar el proxy en el navegador

# Burp escucha por defecto en:
127.0.0.1:8080

# En Firefox: Preferences → Network Settings → Manual Proxy
# HTTP Proxy: 127.0.0.1 | Puerto: 8080

Instalar certificado SSL de Burp

# Con el proxy activo, navegar a:
http://burpsuite
# Descargar e instalar el certificado CA para interceptar HTTPS

2. Proxy — Interceptar peticiones

# Activar intercepción: Proxy → Intercept → Intercept is ON
# Modificar cualquier campo de la petición antes de enviarla
# Forward: enviar al servidor | Drop: descartar

# Ver historial de peticiones:
Proxy → HTTP History

3. Repeater — Repetir y modificar peticiones

# Pasos:
# 1. Interceptar una petición
# 2. Clic derecho → Send to Repeater (Ctrl+R)
# 3. Modificar parámetros manualmente
# 4. Pulsar "Send" y ver la respuesta

# Ideal para:
# - Probar SQL injection manualmente
# - Modificar IDs o tokens en peticiones
# - Probar parámetros ocultos

4. Intruder — Ataques automáticos

# Enviar petición al Intruder: clic derecho → Send to Intruder (Ctrl+I)
# Configurar posiciones (§parámetro§) y tipo de ataque:

# Tipos de ataque:
# Sniper:       un payload, una posición a la vez
# Battering ram: mismo payload en todas las posiciones
# Pitchfork:    payloads diferentes en cada posición (sincronizado)
# Cluster bomb: producto cartesiano de todos los payloads

# Uso típico — fuerza bruta en login:
# Posición: password=§PASS§
# Payload: lista de contraseñas
# En Burp Community: ataque lento (sin throttle en versión Pro)

5. Scanner (Burp Pro) — Detección automática

# Activo: Burp lanza peticiones de prueba para detectar:
# - SQL Injection
# - XSS reflejado y almacenado
# - XXE
# - SSRF
# - Command Injection
# - Path Traversal

# Pasivo: analiza el tráfico que pasa por el proxy
# sin enviar peticiones adicionales

6. Decoder — Codificación/Decodificación

# Soporta: Base64, URL encoding, HTML, Hex, Gzip, etc.
# Decoder → pegar texto → seleccionar operación

# Ejemplo: decodificar token Base64
# Input: dXNlcjphZG1pbg==
# Output: user:admin

7. Comparer — Comparar respuestas

# Útil para:
# - Detectar diferencias entre respuestas de login (usuario válido vs inválido)
# - Comparar respuestas con/sin payload inyectado
# - Análisis de blind SQL injection

8. Flujo típico de testing OWASP

VulnerabilidadTécnica en Burp
SQL InjectionRepeater: añadir \' o 1=1 en parámetros
XSS ReflejadoRepeater: inyectar <script>alert(1)</script>
IDORRepeater: cambiar IDs de recursos
Fuerza brutaIntruder: Sniper sobre campo password
CSRFProxy: capturar token y reutilizarlo
Path TraversalRepeater: ../../../etc/passwd