Nuevos labs cada semana — Accede a todos desde 5€/mes

>Inicio>Labs>Eventos>Creators>Ranking>Academy>Writeups>Precios
Iniciar SesiónCrear Cuenta
Inicio·Academia·Básico·Burp Suite — setup de cero para bug bounty (Community + Professional)
Nivel BásicoGratis

Burp Suite — setup de cero para bug bounty (Community + Professional)

Instalación, configuración de proxy + CA cert, target scope, extensiones esenciales y workflow para empezar a hunting con Burp Suite hoy.

Gorka El Bochi11 de mayo de 202612 min
#burp-suite#tools#setup#methodology

Respuesta rápida

Burp Suite es el proxy HTTP estándar de la industria para bug bounty. Setup mínimo: installdedicated Firefox + Foxyproxy en 127.0.0.1:8080CA cert importado en Firefox → target scope definido (anti-noise) → 7 extensiones esenciales del BApp Store. Comunity vs Pro: Intruder rate limitado, sin Scanner, sin Collaborator — pero suficiente para empezar a cazar bugs reales.

Install — Mac / Linux / Windows

Descarga desde portswigger.net/burp/communitydownload. Necesita Java JRE 21+ que viene bundled en el installer.

bash
# Mac
brew install --cask burp-suite

# Linux
chmod +x burpsuite_community_linux_*.sh && ./burpsuite_community_linux_*.sh

# Windows: instalador .exe estándar

Al primer arranque: Temporary projectUse Burp defaults → start.

Browser config — Firefox dedicado

Regla #1: no uses tu Firefox principal para hunting. Crea un perfil dedicado.

bash
# Mac
/Applications/Firefox.app/Contents/MacOS/firefox --no-remote -P

# Linux
firefox --no-remote -P

# Windows
"C:\Program Files\Mozilla Firefox\firefox.exe" --no-remote -P

Crea perfil bug-bounty. Instala extensión FoxyProxy Standard:

yaml
Proxy Type: HTTP
Proxy IP: 127.0.0.1
Port: 8080

Activa el toggle de FoxyProxy cuando vayas a hacer hunting. Off para navegación normal.

[!warning] Containers / WebSocket Firefox Multi-Account Containers a veces rompe el proxy para WebSockets. Si tu target usa WS (chats, dashboards live), desactiva containers o usa Chrome con --proxy-server=127.0.0.1:8080 y --ignore-certificate-errors.

CA cert — el paso que la gente skipea

Sin el CA cert de Burp instalado, todas las requests HTTPS te dan error "Cert untrusted". Y muchos hunters terminan haciéndoles Always trust manual a cada cert → caos.

Pasos correctos

  1. Con Burp arrancado y proxy activo en Firefox, navega a: http://burpsuite (sí, sin https).
  2. Click CA Certificate arriba a la derecha → descarga cacert.der.
  3. En Firefox: about:preferences#privacyCertificatesView CertificatesAuthoritiesImport...
  4. Selecciona cacert.der → marca Trust this CA to identify websites → OK.
  5. Reinicia Firefox.

Test: visita https://google.com con proxy activo. Si carga sin error → cert OK.

Chrome (system keychain)

Mac:

bash
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain cacert.der

Linux:

bash
sudo cp cacert.crt /usr/local/share/ca-certificates/burp.crt
sudo update-ca-certificates

Windows: doble-click cacert.derInstall CertificateLocal MachineTrusted Root Certification Authorities.

Target scope — anti-BCC noise

El error #1 de principiantes: dejar Burp con default scope (acepta todo). Resultado: 5GB de proxy history con CDNs, Google Analytics, doubleclick.net → imposible buscar nada.

Configurar scope

Target tab → Scope settingsUse advanced scope control.

yaml
Include in scope:
  Protocol: HTTPS
  Host or IP: ^.*\.target\.com$
  Port: ^443$
  File: .*

Exclude from scope:
  Host or IP: .*(google|googleapis|doubleclick|facebook|cloudflare-static).*

Después, en Proxy → Options → Intercept Client Requests y Misc, activa "And URL is in target scope" para todos los rules.

Logging filter

Proxy → HTTP history → click el filter bar arriba → activar Show only in-scope items. Tu history queda limpio.

[!tip] Regex de scope multi-dominio Si el programa es *.target.com + target.io + app.target-cdn.net: ^.*\.target\.com$|^target\.io$|^.*\.target-cdn\.net$

7 extensiones esenciales del BApp Store

Extender → BApp Store. Las que vale la pena para todo hunter:

ExtensiónPara quéComentario
Logger++History potente con filtrosReemplaza el history default. Filtrar por response size, status, regex
Param MinerDetecta hidden paramsEncuentra debug, admin, internal params no documentados
Active Scan++Pasive + active checks extraDetecta más patterns que el scanner default (Pro)
AuthorizeDetector de auth issuesManda cada request 2× con sesiones distintas, compara
Burp BountyCustom checks customizableReglas YAML para vulns específicas del target
JSON BeautifierFormat JSON en repeaterEsencial cuando trabajas con APIs JSON
HackvertorEncoders/decoders inlineURL/base64/HTML encode con tag syntax en repeater

Instalación: BApp Store → buscar nombre → Install. Algunas requieren Jython (Extender → Options → Python Environment → Location of Jython JAR).

[!success] Authorize — el detector de IDORs Una vez configurado con dos sesiones (admin/user), automáticamente marca endpoints donde la request del user devuelve 200 cuando debería 403. Detecta IDORs sin que tú revises request por request. Es lo más cerca de "scanner gratuito" que tienes en Community.

Workflow base — un día de hunting

markdown
1. Arranca Burp → Temporary project con scope configurado
2. Abre Firefox dedicado, activa FoxyProxy
3. Navega el target como user normal (logueado)
   → Genera proxy history rica en endpoints reales

4. Target → Site map → ver el árbol de URLs descubiertas
5. Right-click en host → Engagement tools → Discover content
   → Spider básico para encontrar paths no enlazados

6. Param Miner → Guess GET/POST params en endpoints clave
   → Headers también ("X-Forwarded-Host", "X-Original-URL")

7. Repeater para cada endpoint sospechoso
   → Manipular params, tests de IDOR, SQLi simple, XSS

8. Authorize: configurar sesión secundaria → barrido de auth issues

9. Intruder en params que muestran data sensible
   → Sniper con wordlist de IDs / params hidden

10. Logger++ con filter de status 500 y errors → leaks

Pro vs Community — qué cambia

FeatureCommunityProfessional
IntruderThrottled (1 req/2s, sin presets)Full speed, todos los attack types
Scanner (active + passive)
Collaborator❌ (usar collaborator alternatives)✅ Server propio o Polyglot OAST
Extender (BApp Store)
Repeater✅ + history multi-tab
Project save❌ Temporary only✅ Save / load
HTTP/2 + WebSocket
Search en history✅ básico✅ con regex multi-field

Pro cuesta ~$449/año. Si ya cobras bounties regularmente, vale la pena por el Scanner + Collaborator + Intruder full speed. Si empiezas, Community es suficiente para el primer año.

Alternativas Community para lo que falta

Collaborator → interactsh

bash
# Run server propio
go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-server@latest
interactsh-server -domain mydomain.com

# Cliente local
interactsh-client

Genera URLs xyz.mydomain.com con DNS/HTTP/SMTP logging para SSRF/XXE OOB.

Scanner → nuclei

bash
nuclei -u https://target.com -severity medium,high,critical
nuclei -l alive.txt -tags ssrf,sqli,xss

No es 1:1 con Burp Scanner pero cubre muchos checks comunes.

Gotchas de setup

  • HTTPS interception falla: verificar CA cert importado correctamente en el browser. Test con https://google.com antes de tocar el target.
  • Mobile apps: instalar CA cert en /system/etc/security/cacerts/ (Android root) o configurar network_security_config.xml (debuggable APKs).
  • Proxy chains: si trabajas con VPN, asegúrate que la VPN no rompe el proxy. Algunas VPNs interceptan todo el tráfico TCP.
  • Java memory: si Burp se vuelve lento con projects grandes, edita el .vmoptions: -Xmx4g (4GB heap).
  • HTTP/2: Burp 2024+ soporta HTTP/2 nativamente, pero algunas extensiones legacy aún rompen — desactiva HTTP/2 en Project options → HTTP si ves bugs raros.

Hunting checklist — Burp setup

  • Burp Community instalado y arrancado
  • Firefox dedicado con perfil bug-bounty
  • FoxyProxy apuntando a 127.0.0.1:8080
  • CA cert importado en Firefox → test con https://google.com
  • Scope configurado con regex correcto del target
  • HTTP history filter activado para sólo in-scope
  • Extensiones instaladas: Logger++, Param Miner, Authorize, Burp Bounty, JSON Beautifier, Active Scan++, Hackvertor
  • Authorize configurado con 2 sesiones (admin/user)
  • Interactsh corriendo si necesitas OAST sin Pro

Labs relacionados

Practica el workflow Burp end-to-end (proxy, scope, intruder, repeater) sobre apps vulnerables reales en los labs de BBLABS.

Sigue aprendiendo · cuenta gratis

Guarda tu progreso, desbloquea payloads avanzados y rankea tus flags.

Crear cuenta
Premium · 1 técnica más

Hay un payload extra al final

Las 5 extensiones del BApp Store que solo subscribers descubren — incluyendo la que detecta IDORs automáticamente con 90% de precisión.

Desbloquear

5 €/mes · cancela cuando quieras

Artículos relacionados

Gratis

HackerOne vs Bugcrowd vs YesWeHack vs Intigriti — comparativa práctica 2026

Diferencias reales entre las 4 plataformas de bug bounty: payout speed, calidad de triage, reputation system, public vs private programs y donde se gana más dinero.

13 minbug-bountyplatformsmethodology
Leer artículo
Gratis

Cómo escribir un bug bounty report que se acepte — estructura y errores comunes

Estructura ideal de un bug bounty report: title, summary, impact, steps to reproduce, PoC, remediation. Los 10 errores que hacen que tu report sea rechazado.

12 minbug-bountyreportingmethodology
Leer artículo
Gratis

Recon completo — subdominios, fingerprinting, ASN y origin IPs

Metodología práctica de recon para bug bounty: enumeración pasiva/activa de subdominios, fingerprinting, ASN mapping, origin IPs bypass WAF y mining de git history.

12 minreconmethodologysubdomains
Leer artículo
Nivel básicoToda la Academy