Muy apreciado por los hackers maliciosos, Burp Suite también es una de las herramientas más potentes e imprescindibles para los pentesters.
¿Por qué usar Burp Suite y cuáles son sus funcionalidades más importantes? ¿Es una herramienta de hacking fiable? Responderemos a todas estas preguntas, sin olvidar cómo obtenerlo, su costo y cómo usarlo.
- ¿Qué es Burp Suite?
- ¿Para qué sirve Burp Suite?
- ¿Quién utiliza el software de hacking Burp Suite?
- ¿Quién es el editor del software Burp Suite?
- ¿Cuáles son las principales funcionalidades integradas en el software de pentesting Burp Suite?
- ¿Qué tipos de ataques se pueden simular con Burp Suite?
- ¿Dónde descargar la herramienta de hacking Burp Suite?
- ¿Burp Suite es de pago?
- ¿Cuál es la diferencia entre la versión gratuita y la versión de pago de Burp Suite?
- Preguntas frecuentes sobre Burp Suite
¿Qué es Burp Suite?
Es un conjunto de herramientas de hacking muy eficaz para realizar auditorías de seguridad informática. Burp Suite ayuda a detectar vulnerabilidades de software y aplicaciones web cuya resistencia a los ciberataques se desea verificar.
¿Para qué sirve Burp Suite?
Permitiendo el acceso a los intercambios entre el navegador y el servidor web, este conjunto de herramientas ayuda a sus usuarios a comprender mejor la arquitectura y el funcionamiento de las aplicaciones web a probar. Funciona a partir de pruebas manuales en la versión gratuita o mediante pruebas automatizadas para sus dos versiones de pago.
Útil para mejorar la explotación de una aplicación web, Burp Suite también permite asegurar su fase de desarrollo. De hecho, este conjunto de herramientas no solo ayuda a detectar las vulnerabilidades de la aplicación objetivo, sino que también facilita la elaboración de parches.
¿Quién utiliza el software de hacking Burp Suite?
Este conjunto de herramientas es especialmente apreciado por los profesionales de la ciberseguridad que lo utilizan en sus proyectos de Ethical Hacking para probar y resolver las fallas potenciales de las soluciones informáticas de sus clientes.
Sin embargo, algunos hackers maliciosos pueden desviar la finalidad de Burp Suite para aprovechar las vulnerabilidades que este software permite detectar.
¿Quién es el editor del software Burp Suite?
Desarrollado por PortSwigger, un editor de soluciones informáticas con una reputación sólida en el mundo de la seguridad informática, Burp Suite es una autoridad para los pentesters y otros profesionales de la ciberseguridad.
¿Cuáles son las principales funcionalidades integradas en el software de pentesting Burp Suite?
Programa muy completo, Burp Suite integra 4 módulos indispensables para realizar una auditoría de seguridad en una aplicación web.
Proxy, para interceptar las peticiones web
Este módulo proxy, particularmente popular, permite al pentester seguir las interacciones entre el usuario y la aplicación. De hecho, Burp Suite permite la interceptación y el análisis por parte del profesional de todas las peticiones HTTP enviadas por el usuario y las respuestas del servidor.
Dos opciones se ofrecen entonces al profesional usuario del proxy Burp Suite:
- Un uso en modo pasivo: éste se limita entonces a acceder al historial de las peticiones y respuestas para analizarlas.
- Un uso activo: el experto en ciberseguridad puede entonces modificar las peticiones del usuario, ya sea manualmente o automáticamente.
Intruder, para la automatización de las pruebas de intrusión
Este segundo módulo permite realizar análisis de respuestas de una aplicación web al enviar una carga útil (payload), es decir, una petición maliciosa personalizada por el hacker ético. Este profesional puede así detectar las fallas de seguridad y proceder a su corrección.
La verdadera ventaja de esta funcionalidad: la posibilidad de configurar este módulo en modo automático para simular un ataque de fuerza bruta, enviando un número colosal de peticiones maliciosas. Una solución perfecta para un análisis profundo del nivel de seguridad de la aplicación web.
Repeater, para repetir y refinar las peticiones HTTP
El repetidor de Burp tiene la misión de reenviar las peticiones bloqueadas por el proxy (posiblemente modificadas por el profesional de ciberseguridad) para verificar el comportamiento de la aplicación web.
Este tercer módulo resulta esencial para identificar las fallas de seguridad en una aplicación durante una acción de pentesting.
Scanner para detectar automáticamente las vulnerabilidades
Automatizando las pruebas que requieren más tiempo, el módulo scanner de Burp Suite facilita enormemente las auditorías de seguridad. De hecho, permiten al pentester llegar a probar un máximo de parámetros relacionados con las peticiones recibidas por la aplicación web en cuestión.
¿Cómo funciona el escáner de vulnerabilidades Burp Suite?
- Selecciona las peticiones deseadas (cargadas con una carga útil maliciosa).
- Reenvíalas al escáner.
- La herramienta procede entonces al análisis de las reacciones de los parámetros de la aplicación atacada.
- El escáner te avisará si detecta vulnerabilidades durante esta fase de auditoría.
¿Qué tipos de ataques se pueden simular con Burp Suite?
- Inyección SQL (SQL Injection)
- Inyecciones de comandos (Command Injection)
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Ataques de fuerza bruta (Brute Force Attacks)
- Ataques de ingeniería social
- Referencias de objetos directas no seguras…
¿Dónde descargar la herramienta de hacking Burp Suite?
Para probar Burp Suite, se puede descargar gratuitamente la Community Edition. Para hacerlo, nada más simple: ir al sitio web de su editor PortSwigger en la página dedicada a la descarga de este conjunto de herramientas.
¿Cómo instalar Burp Suite?
Instalar Burp Suite es un juego de niños. Basta con:
- Descargar la última versión de este software (en versión gratuita o de pago).
- Ejecutar el programa de instalación (haciendo clic sistemáticamente en «Siguiente»).
- Luego, se pueden explorar las funcionalidades de Burp Suite.
Nota: Si se ha instalado la edición profesional de Burp Suite, se puede disfrutar de una prueba gratuita. Luego, es necesario suscribirse para obtener una clave de licencia y continuar usándola.
¿Burp Suite es de pago?
El conjunto de herramientas Burp Suite existe en tres versiones, una gratuita y dos de pago.
- Burp Suite Community Edition (versión gratuita): incluye todas las herramientas manuales (Proxy, historial HTTP(s), Repetidor, Decodificador, Secuenciador, Comparador y una demo de Burp Intruder).
- Burp Suite Professional ($475): incluye la Community Edition, pero también permite desarrollar ataques personalizados, lanzar pruebas OAST automáticas o manuales… Finalmente, permite identificar más fácilmente las vulnerabilidades.
- Burp Suite Enterprise Edition (precio a consultar según las necesidades del cliente): una versión de Burp Suite dedicada a las grandes empresas.
¿Cuál es la diferencia entre la versión gratuita y la versión de pago de Burp Suite?
La oferta gratuita de Burp Suite incluye lo esencial del conjunto de herramientas en versión manual. La versión de pago permite automatizar y personalizar cada prueba de seguridad realizada para hacerla dinámica.
Preguntas frecuentes sobre Burp Suite
Una carga útil (payload) en Burp Suite simula un contenido malicioso que compone un ciberataque y que provoca daños (espionaje, robo-modificación o supresión de datos, visualización de publicidad no deseada…).
El objetivo de esta simulación de ataque mediante una carga útil: permitir al pentester verificar si la aplicación web probada resiste a ésta para poder corregirla si es necesario.
A menudo desviado por los hackers maliciosos, Burp Suite es una herramienta diseñada para un uso legal. Sin embargo, para asegurarse de usarlo legalmente, es importante obtener la autorización de la empresa para la que interviene como profesional.
Además, debe asegurarse de guardar los datos confidenciales recopilados en un sistema de almacenamiento seguro y borrarlos rápidamente para cumplir con las normas que rigen el respeto de la vida privada.
El dominio de Burp Suite requiere no sólo habilidades técnicas avanzadas, sino también un buen conocimiento del marco legal en el que se puede utilizar este software. Por eso, su aprendizaje requiere una formación en Ciberseguridad de calidad, como tomar algún curso o certificación.
