¿Qué es Burp Suite?

Burp Suite es la plataforma líder de la industria para testing de seguridad de aplicaciones web. Para ingenieros QA, Burp proporciona un toolkit integral para pruebas de seguridad manuales y automatizadas, incluyendo proxies de intercepción, scanners y herramientas especializadas para descubrimiento de vulnerabilidades.

Ediciones Burp Suite

  • Community Edition - Gratis, escaneo automatizado limitado
  • Professional - Scanner completo, herramientas avanzadas ($449/año)
  • Enterprise - Integración CI/CD, colaboración equipo ($3,999/año)

Componentes Principales

1. Proxy - Interceptar y Modificar Tráfico

# Configurar navegador para usar proxy Burp
# Configuración proxy: localhost:8080

# Instalar certificado CA de Burp
# Navegar a: http://burp
# Descargar cacert.der e instalar en navegador

Interceptar Solicitudes:

1. Activar "Intercept is on" en pestaña Proxy
2. Navegar a target en navegador
3. Ver/modificar solicitud en Burp
4. Click "Forward" para enviar o "Drop" para bloquear

2. Scanner - Detección Automatizada Vulnerabilidades

Configuración Scanner:

1. Click derecho en target en Proxy/Target
2. Seleccionar "Scan" o "Actively scan this host"
3. Configurar ajustes escaneo:
   - Límites crawl
   - Velocidad escaneo
   - Tipos de issues a detectar

3. Intruder - Ataques Automatizados

Ejemplo Fuzzing:

1. Enviar solicitud a Intruder (Click derecho → "Send to Intruder")
2. Establecer posiciones payload:
   POST /api/users HTTP/1.1
   {"user_id": §1§, "role": "§admin§"}

3. Configurar tipos payload:
   - Posición 1: Números (1-1000)
   - Posición 2: Lista simple (admin, user, guest)

4. Iniciar ataque y analizar respuestas

Tipos Ataque:

  • Sniper - Posición payload única
  • Battering Ram - Mismo payload en todas posiciones
  • Pitchfork - Iterar múltiples sets payload en paralelo
  • Cluster Bomb - Todas permutaciones de sets payload

4. Repeater - Testing Manual Solicitudes

1. Enviar solicitud interesante a Repeater
2. Modificar parámetros solicitud
3. Click "Send" para ver respuesta
4. Comparar múltiples respuestas lado a lado

Casos Prueba Comunes:

  • Bypass Autenticación: Eliminar tokens, modificar IDs usuario
  • Testing Autorización: Acceder recursos con diferentes roles usuario
  • Validación Entrada: Probar límites, caracteres especiales, codificación

5. Decoder - Codificar/Decodificar Datos

Codificaciones soportadas:

  • Codificación URL
  • Codificación HTML
  • Base64
  • Hex
  • ASCII hex
  • Gzip

Técnicas Avanzadas

Manejo Sesiones

1. Project Options → Sessions
2. Añadir "Cookie jar"
3. Configurar reglas manejo sesión:
   - Extraer cookies de respuestas
   - Añadir cookies a solicitudes
   - Manejar tokens CSRF

Testing APIs

Testing GraphQL:

# Query introspección
{
  __schema {
    types {
      name
      fields {
        name
        type {
          name
        }
      }
    }
  }
}

Testing JWT:

// Extensión Burp para decodificar/modificar JWTs
function decodeJWT(token) {
    const parts = token.split('.');
    const header = JSON.parse(atob(parts[0]));
    const payload = JSON.parse(atob(parts[1]));
    return { header, payload, signature: parts[2] };
}

Extensiones Burp

Extensiones Imprescindibles

1. Autorize - Testing autorización 2. Logger++ - Logging avanzado 3. Turbo Intruder - Ataques alta velocidad 4. JWT Editor - Manipulación JWT 5. Retire.js - Detectar librerías JavaScript vulnerables

Mejores Prácticas

Workflow Eficiente

  1. Fase Reconocimiento:

    • Mapear aplicación con Spider
    • Revisar historial Proxy para endpoints interesantes
    • Identificar mecanismos autenticación/autorización

  2. Testing Manual:

    • Usar Repeater para testing dirigido
    • Probar autenticación/autorización con diferentes roles
    • Verificar validación entrada en todos parámetros

  3. Escaneo Automatizado:

    • Ejecutar escaneos pasivos continuamente
    • Escaneo activo áreas específicas de interés
    • Usar Intruder para fuzzing y fuerza bruta

Conclusión

Burp Suite es la navaja suiza del testing de seguridad web. Desde interceptar tráfico hasta escaneo automatizado y explotación avanzada, Burp empodera a ingenieros QA para identificar y validar vulnerabilidades de seguridad integralmente.

Conclusiones Clave:

  • Dominar el Proxy para análisis tráfico
  • Usar Scanner para detección automatizada vulnerabilidades
  • Aprovechar Intruder para fuzzing y fuerza bruta
  • Emplear Repeater para explotación manual
  • Extender funcionalidad con extensiones personalizadas
  • Integrar en CI/CD para testing seguridad continuo