Burp Suite
InformativoBurp Suite
Definición
Burp Suite es la herramienta de referencia para pruebas de seguridad de aplicaciones web, desarrollada por PortSwigger. Funciona como un proxy HTTP/S que intercepta, modifica y repite peticiones entre el navegador y el servidor. Incluye herramientas como Repeater (repetir peticiones), Intruder (fuzzing), Scanner (detección automática de vulnerabilidades) y extensiones como Logger++ y Autorize.
Impacto
Ejemplos
Flujo de trabajo típico con Burp Suite
1) Configurar el navegador para usar Burp como proxy (127.0.0.1:8080). 2) Navegar la aplicación para mapear la superficie de ataque (Target > Site Map). 3) Interceptar peticiones interesantes (Proxy > Intercept). 4) Enviar peticiones a Repeater para modificarlas y probar variaciones. 5) Usar Intruder para automatizar fuzzing de parámetros. 6) Instalar extensiones como Autorize para testing de autorización automático.
Extensiones esenciales de Burp Suite
Las extensiones más populares para bug bounty son: Autorize (testing automático de autenticación/autorización), Logger++ (logging avanzado de peticiones), Param Miner (descubrimiento de parámetros ocultos), Turbo Intruder (fuzzing ultra-rápido para race conditions), Active Scan++ (mejoras al scanner), y JSON Web Token Attacker (ataques a JWT).