Herramienta27 de abril de 20269 min de lectura

Burp Suite para principiantes: intercepta, modifica y explota tráfico web

Burp Suite es el proxy estándar para web hacking. Aprende a configurarlo, interceptar tráfico HTTPS, usar el Repeater para probar payloads manualmente y el Intruder para automatizar ataques.

#Burp Suite#Web Hacking#Proxy#Pentesting#TryHackMe

Burp Suite es el estándar de facto para pruebas de seguridad en aplicaciones web. Actúa como un proxy que se sitúa entre tu navegador y el servidor objetivo, permitiéndote interceptar, leer y modificar cada petición HTTP antes de que llegue a su destino. Si empiezas en web hacking, esta es la herramienta que más vas a usar.

¿Qué es Burp Suite?

Es un framework basado en Java que integra varias herramientas especializadas en una sola interfaz. No es solo un proxy: es un arsenal completo para mapear, analizar y explotar aplicaciones web.

HerramientaFunción
ProxyIntercepta y modifica tráfico HTTP/HTTPS en tiempo real
RepeaterReenvía peticiones manualmente para probar payloads
IntruderAutomatiza ataques: fuerza bruta, fuzzing, enumeración
DecoderCodifica/decodifica datos (Base64, URL encoding, hex…)
ComparerCompara diferencias entre dos respuestas o peticiones
ExtenderAñade plugins de la BApp Store o propios

Community vs Professional

  • Community Edition (gratuita): Incluye todas las herramientas esenciales. El Intruder tiene velocidad limitada y no hay escáner automático de vulnerabilidades.
  • Professional Edition (de pago): Intruder sin límites, escáner automatizado, Burp Collaborator para detectar interacciones fuera de banda (SSRF, blind SQLi…) y guardado de proyectos.

Para aprender y para CTFs, Community es más que suficiente.

Instalación

En Kali Linux y Parrot OS viene preinstalado. Si no lo tienes:

# Descargar el instalador desde PortSwigger
# https://portswigger.net/burp/releases

# Ejecutar el instalador .sh
chmod +x burpsuite_community_linux_*.sh
./burpsuite_community_linux_*.sh

Para lanzarlo:

burpsuite

El Dashboard

Al abrir Burp verás el panel principal con tres secciones:

  • Tasks: Escaneos activos o tareas de crawling (solo Pro tiene las avanzadas).
  • Event Log: Errores y advertencias del sistema. Aquí aparece si algo falla al arrancar.
  • Issue Activity: Vulnerabilidades detectadas en tiempo real (solo Pro).

Los atajos de teclado que más usarás desde cualquier vista:

AtajoAcción
Ctrl + REnviar petición al Repeater
Ctrl + IEnviar petición al Intruder
Ctrl + Shift + DIr al Dashboard

El Proxy: el corazón de Burp

El Proxy actúa como un Man-in-the-Middle (MitM) entre tu navegador y el servidor. Todo el tráfico pasa por él.

Intercept

El control principal es el botón Intercept is on / off:

  • Intercept is on: Burp detiene cada petición y te la muestra para que la revises o edites antes de reenviarla.
  • Intercept is off: El tráfico fluye sin interrupciones, pero queda registrado en el historial.

Botones clave cuando una petición está detenida:

BotónEfecto
ForwardEnvía la petición tal cual al servidor
DropDescarta la petición (el servidor nunca la recibe)
Action > Send to RepeaterManda la petición al Repeater para análisis manual

HTTP History

En Proxy > HTTP History tienes el historial completo de todo el tráfico capturado. Es tu herramienta de análisis post-mortem: puedes revisarlo aunque hayas tenido el intercept desactivado y encontrar peticiones interesantes que no viste en tiempo real.

Configurar el navegador: FoxyProxy

Para que tu navegador envíe tráfico a Burp, debe tener configurado el proxy en 127.0.0.1:8080.

FoxyProxy es la extensión recomendada para Firefox y Chrome. Permite cambiar entre perfil normal y perfil Burp con un solo clic.

Configuración del perfil en FoxyProxy:

  • Host: 127.0.0.1
  • Port: 8080
  • Type: HTTP

Navegador integrado

Burp incluye un Chromium preconfigurado que ya tiene el certificado y el proxy listos:

Proxy > Intercept > Open Browser

Útil para empezar rápido sin tocar la configuración de tu Firefox.

Interceptar HTTPS: el certificado CA

Para capturar tráfico HTTPS el navegador debe confiar en la Autoridad de Certificación de Burp. Sin esto verás errores de certificado en cada sitio HTTPS.

Pasos para Firefox:

  1. Con el proxy activo en el navegador, visita http://burp.
  2. Haz clic en CA Certificate y descarga el archivo.
  3. En Firefox: Ajustes > Privacidad > Certificados > Ver certificados > Autoridades > Importar.
  4. Marca "Confiar para identificar sitios web".

A partir de aquí, Burp intercepta HTTPS sin errores.

Scope: define tu objetivo

Antes de analizar cualquier sitio, configura el Scope para evitar capturar (y accidentalmente atacar) dominios externos.

Target > Scope > Add

Añade la URL del objetivo (ej. http://10.10.10.10). Luego en Proxy > HTTP History puedes activar el filtro "Show only in-scope items" para tener solo lo relevante.

El Site Map (Target > Site Map) construye automáticamente un árbol de todos los endpoints descubiertos mientras navegas.

Repeater: prueba manual de payloads

El Repeater es donde pasas más tiempo cuando pruebas vulnerabilidades a mano. Recibes una petición del Proxy (Ctrl + R), la modificas y la reenvías tantas veces como necesites sin pasar por el navegador.

Flujo típico para probar SQL Injection manualmente:

  1. Intercepta el POST /login en el Proxy.
  2. Envía al Repeater con Ctrl + R.
  3. En el cuerpo modifica el campo: username=admin'--&password=foo.
  4. Pulsa Send y analiza la respuesta.
  5. Ajusta el payload y repite.

Intruder: automatiza los ataques

El Intruder permite automatizar peticiones con listas de payloads. Los casos de uso más comunes:

  • Fuerza bruta de credenciales: itera sobre una wordlist de contraseñas.
  • Fuzzing de parámetros: prueba caracteres especiales para detectar inyecciones.
  • Enumeración de directorios/usuarios: usa una lista para encontrar recursos válidos.

En Community Edition, el Intruder tiene velocidad limitada (una petición por segundo aproximadamente). Para CTFs y práctica funciona. Para entornos reales usa la edición Pro o herramientas dedicadas como ffuf.

Flujo completo de ataque

Un workflow típico en un pentest web con Burp:

1. Configurar FoxyProxy → proxy 127.0.0.1:8080
2. Definir Scope en Target > Scope
3. Navegar la aplicación con Intercept OFF → construir Site Map
4. Revisar HTTP History buscando peticiones interesantes
5. Interceptar petición objetivo → Intercept ON
6. Ctrl+R → Repeater para probar payloads manualmente
7. Ctrl+I → Intruder para automatizar si hace falta

Cheatsheet rápida

Proxy port por defecto:    127.0.0.1:8080
Descarga certificado CA:   http://burp  (con proxy activo)
Enviar al Repeater:        Ctrl + R
Enviar al Intruder:        Ctrl + I
Abrir navegador integrado: Proxy > Intercept > Open Browser
Historial completo:        Proxy > HTTP History
Mapa del sitio:            Target > Site Map
Definir scope:             Target > Scope > Add
Tiempo en página 0:00Lectura estimada: 9 min

Posts relacionados

Técnico

Nmap: guía completa de escaneo de redes

Nmap centralizado: descubrimiento de hosts, tipos de escaneo TCP/UDP, detección de versiones y SO, control de timing y exportación de resultados. Todo lo que necesitas para la fase de enumeración.

16 de abril de 20267 min
#Nmap#Recon#Enumeración#Network Scanning
Herramienta

Introducción a Sublist3r: enumeración de subdominios

Sublist3r es una herramienta Python para enumerar subdominios usando múltiples motores de búsqueda y servicios como VirusTotal o DNSdumpster. Instalación, opciones y ejemplos de uso.

10 de diciembre de 20255 min
#Sublist3r#Recon#OSINT#Python
Técnico

SQL Injection y SQLMap: de la teoría a la explotación

Qué es SQL Injection, cómo funciona el bypass de autenticación y los ataques UNION-Based, y cómo automatizar la explotación completa con SQLMap: enumeración de bases de datos, tablas y extracción de credenciales.

20 de abril de 20268 min
#SQL Injection#SQLMap#Web Hacking#OWASP#TryHackMe
← Volver al blog