Diferencia entre revisiones de «Burp Suite»
(Página creada con «{{Ficha Software |nombre= Burp Suite |imagen= BurpSuite.png |desarrollador= PortSwigger |tipo= Suite de seguridad para aplicaciones web |modelo= Community Edition (gratis)…») (Etiqueta: Artículo sin Fuentes o Bibliografía o Referencias o Enlaces externos) |
|||
| (No se muestran 2 ediciones intermedias de otro usuario) | |||
| Línea 1: | Línea 1: | ||
| + | {{Normalizar|motivo=Eliminar caracteres residuales de IA}} | ||
{{Ficha Software | {{Ficha Software | ||
|nombre= Burp Suite | |nombre= Burp Suite | ||
| Línea 8: | Línea 9: | ||
|versiones= Community: 2024.5 / Professional: 2024.5.2 | |versiones= Community: 2024.5 / Professional: 2024.5.2 | ||
|núcleo= Java | |núcleo= Java | ||
| − | |plataformas soportadas= Windows 10 | + | |plataformas soportadas= Windows 10, Linux (Debian/Ubuntu/RHEL), macOS 12 |
|arquitecturas= x86-64, ARM64 (M1/M2) | |arquitecturas= x86-64, ARM64 (M1/M2) | ||
|interfaz= Gráfica (Java Swing) / CLI (Burp Suite Headless) | |interfaz= Gráfica (Java Swing) / CLI (Burp Suite Headless) | ||
| Línea 17: | Línea 18: | ||
}} | }} | ||
| − | '''Burp Suite''' es la suite de seguridad para aplicaciones web más utilizada por auditores de seguridad y pentesters profesionales. | + | '''Burp Suite''' es reconocida como la suite de seguridad para aplicaciones web más utilizada por auditores de seguridad y pentesters profesionales en el ámbito de la ciberseguridad. Esta plataforma, desarrollada por la empresa PortSwigger, integra numerosas herramientas que abordan todas las fases de las pruebas de penetración, desde el reconocimiento inicial hasta la explotación y análisis detallado de vulnerabilidades. |
| + | |||
| + | Su popularidad radica en que ofrece una solución modular y completa para evaluar la seguridad de aplicaciones web, permitiendo tanto escaneos automatizados como un control manual preciso mediante funcionalidades como el proxy interceptador, que permite capturar y modificar el tráfico HTTP/S en tiempo real. Esto facilita la identificación de fallos críticos como inyecciones SQL, cross-site scripting (XSS) o configuraciones incorrectas. | ||
| + | |||
| + | Además de su potente escáner de vulnerabilidades, Burp Suite incorpora herramientas complementarias esenciales para el trabajo de seguridad: | ||
| + | |||
| + | Intruder para ataques personalizados como fuerza bruta o enumeración. | ||
| + | |||
| + | Repeater para repetir y modificar solicitudes manualmente. | ||
| + | |||
| + | Sequencer para analizar la robustez de tokens y sesiones. | ||
| + | |||
| + | Decoder y Comparer para tratar y comparar datos codificados. | ||
| + | |||
| + | Un sistema de extensiones que amplía sus capacidades, adaptándola a diversos escenarios. | ||
| + | |||
| + | Este conjunto de funcionalidades convierte a Burp Suite en una herramienta indispensable para profesionales que necesitan interpretar y anticipar los vectores de ataque, pues permite un entendimiento profundo del comportamiento interno de las aplicaciones web, algo que no logran herramientas genéricas o solo automáticas. La combinación de automatización y control manual ofrece la flexibilidad y precisión requeridas en auditorías profesionales, consolidando a Burp Suite como el estándar en pruebas de penetración web | ||
=== Componentes principales === | === Componentes principales === | ||
| Línea 76: | Línea 93: | ||
| API REST para integración | ❌ | ✔️ | ✔️+ | | | API REST para integración | ❌ | ✔️ | ✔️+ | | ||
| − | + | == Fuentes == | |
* [https://portswigger.net/burp/documentation Documentación oficial 2024] | * [https://portswigger.net/burp/documentation Documentación oficial 2024] | ||
* [https://github.com/PortSwigger/burp-suite GitHub oficial] | * [https://github.com/PortSwigger/burp-suite GitHub oficial] | ||
última versión al 21:35 22 jul 2025
| ||||||||||||||||
Burp Suite es reconocida como la suite de seguridad para aplicaciones web más utilizada por auditores de seguridad y pentesters profesionales en el ámbito de la ciberseguridad. Esta plataforma, desarrollada por la empresa PortSwigger, integra numerosas herramientas que abordan todas las fases de las pruebas de penetración, desde el reconocimiento inicial hasta la explotación y análisis detallado de vulnerabilidades.
Su popularidad radica en que ofrece una solución modular y completa para evaluar la seguridad de aplicaciones web, permitiendo tanto escaneos automatizados como un control manual preciso mediante funcionalidades como el proxy interceptador, que permite capturar y modificar el tráfico HTTP/S en tiempo real. Esto facilita la identificación de fallos críticos como inyecciones SQL, cross-site scripting (XSS) o configuraciones incorrectas.
Además de su potente escáner de vulnerabilidades, Burp Suite incorpora herramientas complementarias esenciales para el trabajo de seguridad:
Intruder para ataques personalizados como fuerza bruta o enumeración.
Repeater para repetir y modificar solicitudes manualmente.
Sequencer para analizar la robustez de tokens y sesiones.
Decoder y Comparer para tratar y comparar datos codificados.
Un sistema de extensiones que amplía sus capacidades, adaptándola a diversos escenarios.
Este conjunto de funcionalidades convierte a Burp Suite en una herramienta indispensable para profesionales que necesitan interpretar y anticipar los vectores de ataque, pues permite un entendimiento profundo del comportamiento interno de las aplicaciones web, algo que no logran herramientas genéricas o solo automáticas. La combinación de automatización y control manual ofrece la flexibilidad y precisión requeridas en auditorías profesionales, consolidando a Burp Suite como el estándar en pruebas de penetración web
Componentes principales
Proxy Interceptor (Funcionalidad central):
- Interceptación en tiempo real de tráfico HTTP/HTTPS/HTTP2
- Modificación de headers, parámetros y cuerpos de solicitud
- Soporte para WebSockets y APIs GraphQL
- Configuración típica:
- Puerto predeterminado: 8080 - Certificado CA: PortSwiggerCA.cer - Configuración navegador: 127.0.0.1:8080
Scanner Automático (Solo Professional/Enterprise):
- Detección de 200+ tipos de vulnerabilidades
- Integración con OWASP Top 10 2023
- Ejemplo de hallazgo:
[SQL Injection] en /search?q=test' Tipo: Blind SQLi Nivel: Crítico (CVSS 9.1) Solución: Usar parámetros preparados
Intruder (Ataques automatizados):
- 4 modos de operación:
1. Sniper: Ataque a un parámetro 2. Battering ram: Mismo payload en múltiples campos 3. Pitchfork: Payloads paralelos 4. Cluster bomb: Combinaciones exhaustivas
- Payloads predefinidos para:
- Fuerza bruta - Inyecciones SQL/XSS - Directory traversal
Herramientas adicionales:
- Repeater: Reenvío manual de peticiones
- Sequencer: Análisis de entropía en tokens
- Comparer: Diferencias entre respuestas
- Decoder: Codificación/decodificación de datos
Requisitos técnicos detallados
- Mínimos:
- CPU: Dual-core 2GHz - RAM: 4GB - Disco: 1GB (2GB para bases de datos de vulnerabilidades) - Java: JDK 11+
- Recomendados:
- CPU: Quad-core 3GHz+ - RAM: 16GB (para escaneos grandes) - SSD: 10GB+ (para capturas de tráfico) - GPU: NVIDIA/AMD dedicada (para aceleración)
=== Comparativa de ediciones === | Característica | Community | Professional | Enterprise | |---------------------------|-----------|--------------|------------| | Scanner automático | ❌ | ✔️ | ✔️+ | | Soporte técnico | Foros | Email | 24/7 SLA | | Escaneo en la nube | ❌ | ❌ | ✔️ | | API REST para integración | ❌ | ✔️ | ✔️+ |
