Burp Suite — Cheatsheet 2026

La referencia completa de Burp Suite — configuración del proxy, Repeater, Intruder, Decoder, atajos de teclado, match & replace, extensiones y flujo completo de pentest web. Para bug bounty, CTF y auditorías web autorizadas.

Última actualización:

¿Principiante? Lee nuestra guía completa para empezar y sitúa el proxy web en la metodología.

Navegación rápida

01 Configuración del proxy 02 Atajos de teclado 03 Repeater 04 Intruder 05 Target & Scope 06 Decoder & Comparer 07 Match & Replace 08 Scanner (Pro) 09 Extensiones 10 Flujo de pentest web

# Configuración del proxy

El proxy es el corazón de Burp — se sitúa entre tu navegador y el objetivo, permitiéndote interceptar y editar cada petición.

Listener proxy: 127.0.0.1:8080
Listener por defecto — apunta tu navegador aquí (Proxy > Options)
Usar el navegador integrado (Proxy > Intercept > Open Browser)
Chromium preconfigurado — sin ajustes de proxy ni certificado
http://burp → CA Certificate → cacert.der
Descarga el certificado CA de Burp y confía en él para interceptar HTTPS
Intercept is on / off
Activar/desactivar la interceptación; déjalo OFF y navega, luego trabaja desde el historial
💡 Consejo: la mayor parte del tiempo deja Intercept OFF y navega normalmente — cada petición se registra en Proxy > HTTP history, donde con clic derecho envías las interesantes a Repeater o Intruder.

# Atajos de teclado esenciales

Aprenderlos te hará mucho más rápido en Burp.

AtajoAcción
Ctrl+REnviar la petición a Repeater
Ctrl+IEnviar la petición a Intruder
Ctrl+Shift+RCambiar a la pestaña Repeater
Ctrl+Shift+ICambiar a la pestaña Intruder
Ctrl+SpaceEnviar la petición (en Repeater)
Ctrl+UCodificar en URL la selección
Ctrl+Shift+UDecodificar URL la selección
Ctrl+BCodificar la selección en base64
Ctrl+Shift+BDecodificar la selección desde base64
Ctrl+FReenviar (forward) la petición interceptada

# Repeater — prueba manual

Repeater es donde forjas y reenvías a mano peticiones individuales para sondear el comportamiento de un endpoint.

Clic derecho en la petición → Send to Repeater (Ctrl+R)
Enviar una petición del historial/proxy a Repeater
Ctrl+Space
Enviar la petición actual y ver la respuesta
Cambiar el método: clic derecho → Change request method
Alternar GET↔POST para probar el manejo de parámetros
Respuesta → pestaña Render
Ver la respuesta HTML renderizada, no solo el texto crudo
💡 Consejo: duplica una pestaña de Repeater (Ctrl+arrastrar o clic derecho > Duplicate) para conservar una petición válida de referencia mientras mutas una copia — perfecto para probar payloads en A/B.

# Intruder — ataques automatizados

Intruder inyecta payloads en posiciones marcadas a través de muchas peticiones — fuzzing, fuerza bruta y enumeración.

Ctrl+I → pestaña Positions → añadir marcadores §
Enviar a Intruder y marcar los puntos de inyección con §

Tipos de ataque

TipoCaso de uso
SniperUn conjunto, una posición a la vez — fuzzing de un solo parámetro
Battering ramEl mismo payload en todas las posiciones a la vez
PitchforkVarios conjuntos en paralelo — ej. pares usuario+contraseña
Cluster bombTodas las combinaciones de conjuntos — fuerza bruta completa de credenciales
Pestaña Payloads → Simple list / Runtime file / Numbers
Cargar una wordlist, un archivo, o generar rangos de números/fechas
Grep - Match: añadir "Welcome" / "Invalid"
Marcar respuestas que contengan una palabra clave para detectar hits rápido
Ordenar resultados por Length / Status
Una longitud de respuesta distinta suele revelar el payload válido
⚠️ Edición Community: Intruder está limitado a ~1 pet/s. Para fuzzing rápido, usa ffuf o wfuzz, o pasa a Burp Professional.

# Target & Scope

Define el scope para que Burp solo registre y ataque lo que estás autorizado a probar.

Target → Site map → clic derecho en el host → Add to scope
Añadir el objetivo al scope
Proxy → Options → Intercept only in-scope items
Dejar de capturar el ruido de dominios de terceros
Site map → filtro → Show only in-scope items
Enfocar el site map en tu objetivo

# Decoder & Comparer

Decoder transforma datos (codificar/decodificar/hash); Comparer compara dos respuestas para detectar diferencias sutiles.

Decoder → Decode as: URL / Base64 / HTML / ASCII hex
Encadenar decodificaciones para desenvolver codificaciones en capas
Decoder → Hash: MD5 / SHA-1 / SHA-256
Hashear rápidamente un valor
Clic derecho dos respuestas → Send to Comparer → Words / Bytes
Comparar una respuesta válida vs inválida para hallar la pista

# Match & Replace

Reescribe automáticamente peticiones/respuestas que pasan por el proxy — genial para cabeceras de auth y flags del lado cliente.

Proxy → Options → Match and Replace → Add
Crear una regla (cabecera de petición / cuerpo de respuesta, etc.)
Tipo: Request header — Match: ^User-Agent.*$ — Replace: User-Agent: PentestMindmap
Forzar un User-Agent personalizado en cada petición
Tipo: Response body — Match: "isAdmin":false — Replace: "isAdmin":true
Cambiar un flag del lado cliente para probar el control de acceso
Tipo: Request header — Match: (vacío) — Replace: Authorization: Bearer TOKEN
Inyectar una cabecera de auth en cada petición

# Scanner (Professional)

El scanner de Burp Pro automatiza el descubrimiento de vulnerabilidades. No disponible en Community.

Dashboard → New scan → Crawl and audit
Crawl automatizado completo + auditoría de vulnerabilidades de un objetivo
Clic derecho en la petición → Scan → Audit selected items
Escaneo activo dirigido de una sola petición
Scan configuration: Audit checks - light active
Elegir un perfil de escaneo más ligero y rápido para reducir el ruido

# Extensiones esenciales (BApp Store)

Instálalas desde Extensions > BApp Store. Cubren las necesidades más comunes.

Autorize
Prueba automática de autorización / control de acceso (IDOR, escalada)
Logger++
Registro, filtrado y exportación avanzados de peticiones
Param Miner
Descubrir parámetros y cabeceras ocultos (ideal para cache poisoning)
Active Scan++
Comprobaciones de escaneo activo extra más allá de las predeterminadas
JS Link Finder
Extraer endpoints y enlaces de los archivos JavaScript

# El flujo de pentest web

Un orden de operaciones repetible para probar una aplicación web con Burp.

1. Añadir el objetivo al scope, intercept off, navegar toda la app
Poblar el site map usando todas las funciones
2. Revisar Proxy → HTTP history en busca de endpoints interesantes
Buscar IDs, tokens, rutas admin, parámetros de archivo
3. Enviar candidatos a Repeater y sondear a mano
Probar IDOR, inyección, bypass de auth una petición a la vez
4. Usar Intruder (o ffuf) para fuzzear parámetros y fuerza bruta
Automatizar lo que confirmaste manualmente
5. Ejecutar Autorize navegando como un usuario de bajos privilegios
Detectar automáticamente el control de acceso defectuoso

❓ FAQ Burp Suite

Burp escucha en 127.0.0.1:8080. Apunta tu navegador ahí (o usa el navegador integrado). Luego confía en el certificado CA desde http://burp para interceptar HTTPS sin advertencias.

Repeater reenvía una sola petición que editas a mano. Intruder automatiza muchas peticiones con payloads (fuzzing, fuerza bruta). Ctrl+R → Repeater, Ctrl+I → Intruder.

Sniper (un conjunto, una posición a la vez), Battering ram (mismo payload en todas), Pitchfork (conjuntos en paralelo — pares usuario+pass), Cluster bomb (todas las combinaciones — fuerza bruta completa).

Sí — alrededor de 1 petición/segundo y sin ataques guardados. Para fuzzing rápido usa ffuf/wfuzz, o pasa a Burp Professional.

Una regla de proxy que reescribe automáticamente peticiones/respuestas. Usos: forzar un User-Agent, inyectar una cabecera Authorization en cada petición, o cambiar isAdmin:false a true en una respuesta.

Ctrl+R → Repeater, Ctrl+I → Intruder, Ctrl+Space enviar en Repeater, Ctrl+U/Ctrl+Shift+U codificar/decodificar URL, Ctrl+B codificar en base64.

Desde la BApp Store: Autorize, Logger++, Active Scan++, Param Miner y JS Link Finder. Algunas necesitan Jython/Jruby configurado en los ajustes de Extensions.

Visita http://burp, descarga el certificado CA (cacert.der) e impórtalo en las autoridades raíz de confianza de tu navegador. El HTTPS se descifra entonces en Proxy > HTTP history sin advertencias.

📚 Recursos relacionados

Informe de pentest asistido por IA

Convierte tus hallazgos de Burp en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.

Probar gratis →

¿Quieres los 12 020+ comandos?

Esta cheatsheet de Burp Suite es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.

Empezar gratis →