Diferencia entre revisiones de «Burp Suite»

(Página creada con «{{Ficha Software |nombre= Burp Suite |imagen= BurpSuite.png |desarrollador= PortSwigger |tipo= Suite de seguridad para aplicaciones web |modelo= Community Edition (gratis)…»)
(Etiqueta: Artículo sin Fuentes o Bibliografía o Referencias o Enlaces externos)
 
(Etiqueta: Artículo sin Fuentes o Bibliografía o Referencias o Enlaces externos)
Línea 8: Línea 8:
 
|versiones= Community: 2024.5 / Professional: 2024.5.2
 
|versiones= Community: 2024.5 / Professional: 2024.5.2
 
|núcleo= Java
 
|núcleo= Java
|plataformas soportadas= Windows 10+, Linux (Debian/Ubuntu/RHEL), macOS 12+
+
|plataformas soportadas= Windows 10, Linux (Debian/Ubuntu/RHEL), macOS 12
 
|arquitecturas= x86-64, ARM64 (M1/M2)
 
|arquitecturas= x86-64, ARM64 (M1/M2)
 
|interfaz= Gráfica (Java Swing) / CLI (Burp Suite Headless)
 
|interfaz= Gráfica (Java Swing) / CLI (Burp Suite Headless)

Revisión del 20:39 19 jul 2025

Burp Suite
Información sobre la plantilla
BurpSuite.png
DesarrolladorPortSwigger
VersionesCommunity: 2024.5 / Professional: 2024.5.2
NúcleoJava
Plataformas soportadasWindows 10, Linux (Debian/Ubuntu/RHEL), macOS 12
LicenciaGNU GPL (Community) / Licencia comercial (Professional/Enterprise)
Sitio web
https://portswigger.net/burp/

Burp Suite es la suite de seguridad para aplicaciones web más utilizada por auditores de seguridad y pentesters profesionales. Desarrollada por PortSwigger, combina herramientas para todas las fases de pruebas de penetración web.

Componentes principales

Proxy Interceptor (Funcionalidad central):

  • Interceptación en tiempo real de tráfico HTTP/HTTPS/HTTP2
  • Modificación de headers, parámetros y cuerpos de solicitud
  • Soporte para WebSockets y APIs GraphQL
  • Configuración típica:

- Puerto predeterminado: 8080 - Certificado CA: PortSwiggerCA.cer - Configuración navegador: 127.0.0.1:8080

Scanner Automático (Solo Professional/Enterprise):

  • Detección de 200+ tipos de vulnerabilidades
  • Integración con OWASP Top 10 2023
  • Ejemplo de hallazgo:

[SQL Injection] en /search?q=test' Tipo: Blind SQLi Nivel: Crítico (CVSS 9.1) Solución: Usar parámetros preparados

Intruder (Ataques automatizados):

  • 4 modos de operación:

1. Sniper: Ataque a un parámetro 2. Battering ram: Mismo payload en múltiples campos 3. Pitchfork: Payloads paralelos 4. Cluster bomb: Combinaciones exhaustivas

  • Payloads predefinidos para:

- Fuerza bruta - Inyecciones SQL/XSS - Directory traversal

Herramientas adicionales:

  • Repeater: Reenvío manual de peticiones
  • Sequencer: Análisis de entropía en tokens
  • Comparer: Diferencias entre respuestas
  • Decoder: Codificación/decodificación de datos

Requisitos técnicos detallados

  • Mínimos:

- CPU: Dual-core 2GHz - RAM: 4GB - Disco: 1GB (2GB para bases de datos de vulnerabilidades) - Java: JDK 11+

  • Recomendados:

- CPU: Quad-core 3GHz+ - RAM: 16GB (para escaneos grandes) - SSD: 10GB+ (para capturas de tráfico) - GPU: NVIDIA/AMD dedicada (para aceleración) 

=== Comparativa de ediciones ===
| Característica            | Community | Professional | Enterprise |
|---------------------------|-----------|--------------|------------|
| Scanner automático        | ❌        | ✔️           | ✔️+        |
| Soporte técnico           | Foros     | Email        | 24/7 SLA   |
| Escaneo en la nube        | ❌        | ❌           | ✔️         |
| API REST para integración | ❌        | ✔️           | ✔️+        |

Fuentes verificables

Obtenido de «https://www.ecured.cu/index.php?title=Burp_Suite&oldid=4592219»