Burp Suite

Por qué importa

El navegador está hecho para usuarios, no para quien audita. Codifica la entrada, sigue redirecciones y renderiza una página de error amable mientras descarta sin hacer ruido las trazas de pila y los errores de base de datos que el servidor devuelve. Burp Suite elimina ese filtro. Como proxy de interceptación te muestra los bytes exactos que salen de tu máquina y los bytes exactos que devuelve el servidor, que es donde se vuelven visibles la divulgación de información, la inyección SQL, el bypass de autenticación y el IDOR.

Para cualquiera que esté aprendiendo seguridad ofensiva o empezando en bug bounty, Burp Suite suele ser la primera herramienta profesional que adopta, porque casi todo hallazgo web manual empieza leyendo o modificando una petición dentro de él. Creada por PortSwigger, se ha convertido en el lenguaje común de las pruebas web: cuando alguien dice que "lo mandó a Repeater" o que "lo pasó por Intruder", el resto de la comunidad sabe exactamente qué hizo.

Herramientas principales

Burp Suite no es una sola funcionalidad, sino un conjunto de herramientas que comparten el tráfico capturado:

• Proxy: intercepta el tráfico entre el navegador y el servidor para que puedas pausar, leer y editar cada petición antes de enviarla. El historial del proxy es además un mapa completo de cada endpoint que llamó la aplicación, incluidos los que dispara JavaScript en silencio.
• Repeater: te permite reenviar una sola petición una y otra vez con pequeños cambios, el caballo de batalla de la manipulación de parámetros y el sondeo manual.
• Intruder: automatiza el envío de muchos payloads a las posiciones que elijas, útil para hacer fuzzing de parámetros, enumerar IDs y aplicar fuerza bruta a valores.
• Decoder y Comparer: codifican, decodifican y comparan datos para que entiendas los tokens y detectes diferencias sutiles entre dos respuestas.
• Scanner (solo Professional): rastrea y prueba de forma automática las clases de vulnerabilidad más comunes, y luego reporta los problemas confirmados y los tentativos.

Un flujo de trabajo típico

Una prueba real casi nunca empieza con un payload exótico. Empieza leyendo. Navegas la aplicación con normalidad mientras Burp registra cada petición, luego eliges una interesante, por ejemplo un POST /api/reviews/vote que lleva un reviewId numérico. La envías a Repeater, añades una comilla simple al ID y la reenvías. Si la respuesta pasa de un 200 OK limpio a un 500 que arrastra un error de base de datos, has encontrado una divulgación de información que el navegador habría escondido tras un mensaje genérico. Ese bucle de capturar, modificar, reenviar y leer es el corazón del pentesting de aplicaciones web.

Community frente a Professional

Burp Suite Community Edition es gratuita e incluye el Proxy, Repeater y Decoder, que cubren cada técnica manual que un principiante necesita. Burp Suite Professional añade el escáner automático, un Intruder sin límite de velocidad, los proyectos guardados y la tienda de extensiones BApp, donde viven herramientas como las de bypass de 403 y los testeadores de autorización. Puedes aprender y practicar todo el flujo manual en la Community Edition antes de decidir si la licencia Professional vale la pena para tu trabajo.

Cómo empezar

Instala Burp Suite, configura tu navegador para enrutar el tráfico a través del proxy y luego instala el certificado CA de Burp para que el tráfico HTTPS sea legible. Navega el objetivo con normalidad y observa cómo se llena el historial de peticiones. Desde ahí interceptas una petición, la envías a Repeater, cambias un valor cada vez y lees la respuesta en crudo. Combina la herramienta con los laboratorios gratuitos de la PortSwigger Web Security Academy para practicar cada clase de vulnerabilidad de forma segura y legal antes de tocar siquiera un programa en producción.