Estructura del contenido
Qué es Burp Suite
Burp Suite es una herramienta de seguridad de software de código abierto que se utiliza para hacer pruebas de pentesting y descubrir vulnerabilidades en aplicaciones web. Fue desarrollado por PortSwigger Web Security y se ha convertido en una de las herramientas más populares en la industria de la seguridad informática.
Además de sus funciones de seguridad, Burp Suite también ofrece una gran cantidad de recursos y documentación en línea para ayudarte a comprender la herramienta, para ello puedes acceder a su Burp Suite Academy, registrarte gratis y aprender de su uso, aplicación, etc.
Cómo funciona Burp Suite
Burp Suite se ejecuta básicamente como un proxy y se puede abrir directamente desde tu máquina Kali Linux como una aplicación independiente en su versión «Community Edition» con las opciones básicas de creación de proyectos temporales, etc.
Funciona interceptando el tráfico entrante y saliente de una aplicación web y permitiendo a los usuarios ver y manipular ese tráfico. Esta herramienta se ejecuta en una máquina local y se configura como un proxy para redirigir el tráfico a través de ella.
Para empezar a trabajar con la herramienta, tienes que configurar en las opciones de Proxy el local host 127.0.0.1 en el puerto 8080.
Otra opción recomendable es la importar el CA certificate para evitar que el navegador esté constantemente preguntándote cuándo una url sobre la que haces las pruebas no es segura, etc. ¿Cómo se hace? desde las opciones de Firefox, buscando por «certificates» -> «View Certificates» -> «Import» (e importamos el certificado que previamente hemos configurado desde Burp Suite en la opción de «Import / export CA certificate» (certificate in DER format).
Para encender y apagar Burp Suite, es muy recomendable descargarte en Firefox la extensión FoxyProxy y configurarla correctamente.
De esta forma, activando la opción Burpsuite ya configurada, FoxyProxy & Burp Suite estarían interceptando todas las peticiones que se hagan en Firefox.
Y ya, con el proxy de Burp Suite configurado, el certificado importado en Firefox, y el proxy configurado en Foxyproxy, ya podemos volver a la herramienta de Burp Suite y, en la opción Proxy – Intercept – Intercept is on ; interceptar una petición y ver toda la información servida.
La opción más usada en prácticas de hacking dentro de laboratorios de prácticas como Hack The Box o Try Hack Me, es la de interceptar peticiones de solicitudes HTTP (opción «Repeater») y HTTPS, manipular la información de una cookie, encontrar directorios ocultos, etc.
Dónde descargarlo
La tool está disponible para descargarla desde la propia página de PortSwigger. Se puede descargar tanto la versión gratuita como la versión de pago con más opciones de configuración, uso, etc. La descarga es fácil y puedes hacerlo según los distintos sistemas operativos incluyendo Windows, macOS y Linux.
Si quieres profundizar en los conocimientos sobre el uso de Burp Suite y otras herramientas de pentesting, te recomiendo leer este libro donde se analizan a detalle y bien explicado.
Si además quieres verlo en formato vídeo, aquí te dejo un vídeo explicativo de ContandoBits muy interesante que te cuenta cómo usar la herramienta: