Burp Suite
| ||||||||||||||||
Burp Suite es la suite de seguridad para aplicaciones web más utilizada por auditores de seguridad y pentesters profesionales. Desarrollada por PortSwigger, combina herramientas para todas las fases de pruebas de penetración web.
Componentes principales
Proxy Interceptor (Funcionalidad central):
- Interceptación en tiempo real de tráfico HTTP/HTTPS/HTTP2
- Modificación de headers, parámetros y cuerpos de solicitud
- Soporte para WebSockets y APIs GraphQL
- Configuración típica:
- Puerto predeterminado: 8080 - Certificado CA: PortSwiggerCA.cer - Configuración navegador: 127.0.0.1:8080
Scanner Automático (Solo Professional/Enterprise):
- Detección de 200+ tipos de vulnerabilidades
- Integración con OWASP Top 10 2023
- Ejemplo de hallazgo:
[SQL Injection] en /search?q=test' Tipo: Blind SQLi Nivel: Crítico (CVSS 9.1) Solución: Usar parámetros preparados
Intruder (Ataques automatizados):
- 4 modos de operación:
1. Sniper: Ataque a un parámetro 2. Battering ram: Mismo payload en múltiples campos 3. Pitchfork: Payloads paralelos 4. Cluster bomb: Combinaciones exhaustivas
- Payloads predefinidos para:
- Fuerza bruta - Inyecciones SQL/XSS - Directory traversal
Herramientas adicionales:
- Repeater: Reenvío manual de peticiones
- Sequencer: Análisis de entropía en tokens
- Comparer: Diferencias entre respuestas
- Decoder: Codificación/decodificación de datos
Requisitos técnicos detallados
- Mínimos:
- CPU: Dual-core 2GHz - RAM: 4GB - Disco: 1GB (2GB para bases de datos de vulnerabilidades) - Java: JDK 11+
- Recomendados:
- CPU: Quad-core 3GHz+ - RAM: 16GB (para escaneos grandes) - SSD: 10GB+ (para capturas de tráfico) - GPU: NVIDIA/AMD dedicada (para aceleración)
=== Comparativa de ediciones === | Característica | Community | Professional | Enterprise | |---------------------------|-----------|--------------|------------| | Scanner automático | ❌ | ✔️ | ✔️+ | | Soporte técnico | Foros | Email | 24/7 SLA | | Escaneo en la nube | ❌ | ❌ | ✔️ | | API REST para integración | ❌ | ✔️ | ✔️+ |
