Burp Suite
¿Qué es Burp Suite?
Burp SuiteProxy interceptor y conjunto de herramientas de pruebas web de PortSwigger, usado para descubrir, manipular y explotar vulnerabilidades en aplicaciones HTTP y HTTPS.
Burp Suite es la plataforma de referencia para pruebas de seguridad de aplicaciones web, creada por Dafydd Stuttard y desarrollada por PortSwigger. Combina un proxy interceptor, repeater, intruder, decoder, scanner y una API de extensiones (BApp) que utilizan ingenieros de AppSec, cazadores de bug bounty y pentesters. Se distribuye en una edicion Community gratuita y en versiones comerciales Professional y Enterprise; la Professional incluye el escaner activo de vulnerabilidades que sustenta muchos flujos de AppSec. Su uso solo es licito contra sistemas para los que se cuenta con autorizacion escrita explicita, como un alcance definido en un pentest o un programa de bug bounty.
● Ejemplos
- 01
Manipular un JWT en la pestana Repeater para confirmar un bypass de autorizacion.
- 02
Ejecutar Intruder con una lista de payloads para probar inyeccion SQL en un parametro de busqueda.
● Preguntas frecuentes
¿Qué es Burp Suite?
Proxy interceptor y conjunto de herramientas de pruebas web de PortSwigger, usado para descubrir, manipular y explotar vulnerabilidades en aplicaciones HTTP y HTTPS. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Burp Suite?
Proxy interceptor y conjunto de herramientas de pruebas web de PortSwigger, usado para descubrir, manipular y explotar vulnerabilidades en aplicaciones HTTP y HTTPS.
¿Cómo funciona Burp Suite?
Burp Suite es la plataforma de referencia para pruebas de seguridad de aplicaciones web, creada por Dafydd Stuttard y desarrollada por PortSwigger. Combina un proxy interceptor, repeater, intruder, decoder, scanner y una API de extensiones (BApp) que utilizan ingenieros de AppSec, cazadores de bug bounty y pentesters. Se distribuye en una edicion Community gratuita y en versiones comerciales Professional y Enterprise; la Professional incluye el escaner activo de vulnerabilidades que sustenta muchos flujos de AppSec. Su uso solo es licito contra sistemas para los que se cuenta con autorizacion escrita explicita, como un alcance definido en un pentest o un programa de bug bounty.
¿Cómo defenderse de Burp Suite?
Las defensas contra Burp Suite combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Burp Suite?
Nombres alternativos comunes: Burp, BurpSuite.
● Términos relacionados
- defense-ops№ 813
Pruebas de penetración
Ciberataque simulado y autorizado contra sistemas, aplicaciones o personas para identificar debilidades explotables antes de que lo hagan adversarios reales.
- appsec№ 273
DAST (Pruebas dinámicas de seguridad de aplicaciones)
Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
- compliance№ 781
OWASP Top 10
Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.
- attacks№ 1084
Inyección SQL
Ataque de inyección de código que incrusta SQL controlado por el atacante en una consulta a la base de datos para leer, modificar o destruir datos.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidad web que permite a un atacante inyectar scripts maliciosos en páginas vistas por otros usuarios, ejecutándose en el navegador de la víctima bajo el origen del sitio.
- roles№ 132
Cazador de bug bounty
Investigador de seguridad independiente que encuentra y reporta vulnerabilidades a fabricantes a través de programas de bug bounty o divulgación coordinada, a cambio de recompensas económicas y reconocimiento.
● Véase también
- № 577Kali Linux
- № 686mitmproxy