~/docs /Burp Suite workflow

Burp Suite workflow

Burp Suite workflow

Imported from Notion: Burp Suite workflow

updated:: 2026.07.10

Que resuelve

Flujo de trabajo para usar Burp Suite despues de configurar proxy y certificado. Complementa la pagina de FoxyProxy + Burp Suite.

warning

Usa Burp solo sobre aplicaciones propias, laboratorios o entornos con permiso explicito. Define siempre el alcance antes de interceptar o modificar trafico.

Flujo recomendado

  1. Configura proxy y certificado.

  2. Define scope.

  3. Navega la aplicacion.

  4. Revisa Proxy HTTP history.

  5. Envia peticiones interesantes a Repeater.

  6. Documenta hallazgos con request, response e impacto.

Scope

Anadir dominio al scope

  1. Abre Target.

  2. Entra en Scope.

  3. Anade https://{HOST}.

  4. Activa Show only in-scope items.

Reglas utiles

CasoRegla
Dominio exactohttps://app.example.com
Subdominios.*\.example\.com
Ruta concretahttps://example.com/api/.*

Proxy

Uso normal

  1. Deja Intercept off.

  2. Navega la aplicacion.

  3. Revisa Proxy -> HTTP history.

  4. Filtra por scope.

Interceptar una accion concreta

  1. Prepara la accion en el navegador.

  2. Activa Intercept on.

  3. Ejecuta la accion.

  4. Envia a Repeater o Forward.

  5. Desactiva Intercept.

HTTP history

Campos importantes

CampoPara que sirve
HostDominio o IP
MethodGET, POST, PUT, DELETE
URLRuta y query string
ParamsParametros detectados
StatusCodigo HTTP
LengthTamano de respuesta
MIME typeTipo de contenido

Filtros utiles

  • Mostrar solo scope.

  • Ocultar imagenes y recursos estaticos.

  • Ordenar por status.

  • Buscar por parametro o endpoint.

Repeater

Enviar peticion a Repeater

  1. Click derecho en request.

  2. Selecciona Send to Repeater.

  3. Modifica un parametro cada vez.

  4. Pulsa Send.

  5. Compara status, longitud y contenido.

Pruebas seguras habituales

ObjetivoQue cambiar
Validar permisosIDs propios dentro del laboratorio
Validar inputTipos, longitud, valores vacios
Validar metodoGET vs POST cuando aplique
Validar headersAccept, Content-Type, tokens propios

Intruder

Uso controlado

  1. Envia una request a Intruder.

  2. Marca posiciones con payloads pequenos.

  3. Limita numero de peticiones.

  4. Revisa diferencias de status y longitud.

critical

No uses Intruder para fuerza bruta real ni contra terceros. Puede generar muchas peticiones y afectar al servicio.

Decoder

Casos comunes

DatoAccion
URL encodedDecode as URL
Base64Decode as Base64
HexDecode as Hex
JSON escapadoUnescape

Comparer

Comparar respuestas

  1. Envia response A a Comparer.

  2. Envia response B a Comparer.

  3. Usa comparacion por palabras o bytes.

  4. Busca diferencias en mensajes, roles, IDs o flags.

Logger

Usa Logger cuando necesites ver todas las herramientas de Burp en un unico flujo, especialmente si Proxy, Repeater e Intruder generan trafico a la vez.

Checklist de revision web

Autenticacion y sesion

  • Cookies con HttpOnly.

  • Cookies con Secure.

  • Cookies con SameSite.

  • Logout invalida sesion.

  • Tokens no aparecen en URL.

Autorizacion

  • Un usuario no accede a recursos de otro.

  • Roles distintos no comparten permisos.

  • Endpoints API validan permisos en servidor.

Input

  • Parametros obligatorios.

  • Valores vacios.

  • Tipos incorrectos.

  • Longitudes extremas en laboratorio.

  • Content-Type inesperado.

Configuracion

  • Cabeceras de seguridad.

  • Errores sin stack traces.

  • Metodos HTTP no necesarios deshabilitados.

  • CORS limitado a origenes esperados.

Evidencia minima

CampoQue guardar
EndpointMetodo y URL
RequestParametros relevantes
ResponseStatus y fragmento significativo
ImpactoQue permite o rompe
ReproduccionPasos minimos
AlcanceEntorno y usuario de prueba

Errores comunes

SintomaCausa probableSolucion
No aparece trafico HTTPSFalta CA de BurpReinstala certificado
Mucho ruidoScope mal definidoActiva filtro in-scope
La app fallaIntercept olvidado en ONPasa a OFF
No cambia nada en RepeaterModificas parametro no usadoCompara request real y response

Checklist final

  • Scope definido antes de probar.

  • Intercept off por defecto.

  • Repeater para pruebas manuales.

  • Intruder solo con limites y permiso.

  • Evidencia limpia: request, response, impacto y pasos.

- EOF -