# Configuración del proxy
El proxy es el corazón de Burp — se sitúa entre tu navegador y el objetivo, permitiéndote interceptar y editar cada petición.
Listener proxy: 127.0.0.1:8080Usar el navegador integrado (Proxy > Intercept > Open Browser)http://burp → CA Certificate → cacert.derIntercept is on / off# Atajos de teclado esenciales
Aprenderlos te hará mucho más rápido en Burp.
| Atajo | Acción |
|---|---|
| Ctrl+R | Enviar la petición a Repeater |
| Ctrl+I | Enviar la petición a Intruder |
| Ctrl+Shift+R | Cambiar a la pestaña Repeater |
| Ctrl+Shift+I | Cambiar a la pestaña Intruder |
| Ctrl+Space | Enviar la petición (en Repeater) |
| Ctrl+U | Codificar en URL la selección |
| Ctrl+Shift+U | Decodificar URL la selección |
| Ctrl+B | Codificar la selección en base64 |
| Ctrl+Shift+B | Decodificar la selección desde base64 |
| Ctrl+F | Reenviar (forward) la petición interceptada |
# Repeater — prueba manual
Repeater es donde forjas y reenvías a mano peticiones individuales para sondear el comportamiento de un endpoint.
Clic derecho en la petición → Send to Repeater (Ctrl+R)Ctrl+SpaceCambiar el método: clic derecho → Change request methodRespuesta → pestaña Render# Intruder — ataques automatizados
Intruder inyecta payloads en posiciones marcadas a través de muchas peticiones — fuzzing, fuerza bruta y enumeración.
Ctrl+I → pestaña Positions → añadir marcadores §Tipos de ataque
| Tipo | Caso de uso |
|---|---|
| Sniper | Un conjunto, una posición a la vez — fuzzing de un solo parámetro |
| Battering ram | El mismo payload en todas las posiciones a la vez |
| Pitchfork | Varios conjuntos en paralelo — ej. pares usuario+contraseña |
| Cluster bomb | Todas las combinaciones de conjuntos — fuerza bruta completa de credenciales |
Pestaña Payloads → Simple list / Runtime file / NumbersGrep - Match: añadir "Welcome" / "Invalid"Ordenar resultados por Length / Statusffuf o wfuzz, o pasa a Burp Professional.# Target & Scope
Define el scope para que Burp solo registre y ataque lo que estás autorizado a probar.
Target → Site map → clic derecho en el host → Add to scopeProxy → Options → Intercept only in-scope itemsSite map → filtro → Show only in-scope items# Decoder & Comparer
Decoder transforma datos (codificar/decodificar/hash); Comparer compara dos respuestas para detectar diferencias sutiles.
Decoder → Decode as: URL / Base64 / HTML / ASCII hexDecoder → Hash: MD5 / SHA-1 / SHA-256Clic derecho dos respuestas → Send to Comparer → Words / Bytes# Match & Replace
Reescribe automáticamente peticiones/respuestas que pasan por el proxy — genial para cabeceras de auth y flags del lado cliente.
Proxy → Options → Match and Replace → AddTipo: Request header — Match: ^User-Agent.*$ — Replace: User-Agent: PentestMindmapTipo: Response body — Match: "isAdmin":false — Replace: "isAdmin":trueTipo: Request header — Match: (vacío) — Replace: Authorization: Bearer TOKEN# Scanner (Professional)
El scanner de Burp Pro automatiza el descubrimiento de vulnerabilidades. No disponible en Community.
Dashboard → New scan → Crawl and auditClic derecho en la petición → Scan → Audit selected itemsScan configuration: Audit checks - light active# Extensiones esenciales (BApp Store)
Instálalas desde Extensions > BApp Store. Cubren las necesidades más comunes.
AutorizeLogger++Param MinerActive Scan++JS Link Finder# El flujo de pentest web
Un orden de operaciones repetible para probar una aplicación web con Burp.
1. Añadir el objetivo al scope, intercept off, navegar toda la app2. Revisar Proxy → HTTP history en busca de endpoints interesantes3. Enviar candidatos a Repeater y sondear a mano4. Usar Intruder (o ffuf) para fuzzear parámetros y fuerza bruta5. Ejecutar Autorize navegando como un usuario de bajos privilegios❓ FAQ Burp Suite
Burp escucha en 127.0.0.1:8080. Apunta tu navegador ahí (o usa el navegador integrado). Luego confía en el certificado CA desde http://burp para interceptar HTTPS sin advertencias.
Repeater reenvía una sola petición que editas a mano. Intruder automatiza muchas peticiones con payloads (fuzzing, fuerza bruta). Ctrl+R → Repeater, Ctrl+I → Intruder.
Sniper (un conjunto, una posición a la vez), Battering ram (mismo payload en todas), Pitchfork (conjuntos en paralelo — pares usuario+pass), Cluster bomb (todas las combinaciones — fuerza bruta completa).
Sí — alrededor de 1 petición/segundo y sin ataques guardados. Para fuzzing rápido usa ffuf/wfuzz, o pasa a Burp Professional.
Una regla de proxy que reescribe automáticamente peticiones/respuestas. Usos: forzar un User-Agent, inyectar una cabecera Authorization en cada petición, o cambiar isAdmin:false a true en una respuesta.
Ctrl+R → Repeater, Ctrl+I → Intruder, Ctrl+Space enviar en Repeater, Ctrl+U/Ctrl+Shift+U codificar/decodificar URL, Ctrl+B codificar en base64.
Desde la BApp Store: Autorize, Logger++, Active Scan++, Param Miner y JS Link Finder. Algunas necesitan Jython/Jruby configurado en los ajustes de Extensions.
Visita http://burp, descarga el certificado CA (cacert.der) e impórtalo en las autoridades raíz de confianza de tu navegador. El HTTPS se descifra entonces en Proxy > HTTP history sin advertencias.
📚 Recursos relacionados
- Cheatsheet Reverse Shell — Convierte una RCE web en shell una vez que Burp confirma la inyección
- Cheatsheet Nmap — Encuentra los puertos web (80/443/8080) antes de proxificarlos
- Cheatsheet de Pentesting completa — 200+ comandos para web, red, AD y privesc
- Glosario de Pentesting — IDOR, XSS, SSRF, proxy y 60+ términos clave definidos
Convierte tus hallazgos de Burp en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.
¿Quieres los 12 020+ comandos?
Esta cheatsheet de Burp Suite es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.
Empezar gratis →