~/docs /Burp Suite workflow
Burp Suite workflow
Burp Suite workflow
Imported from Notion: Burp Suite workflow
updated:: 2026.07.10
Que resuelve
Flujo de trabajo para usar Burp Suite despues de configurar proxy y certificado. Complementa la pagina de FoxyProxy + Burp Suite.
warningUsa Burp solo sobre aplicaciones propias, laboratorios o entornos con permiso explicito. Define siempre el alcance antes de interceptar o modificar trafico.
Flujo recomendado
-
Configura proxy y certificado.
-
Define scope.
-
Navega la aplicacion.
-
Revisa Proxy HTTP history.
-
Envia peticiones interesantes a Repeater.
-
Documenta hallazgos con request, response e impacto.
Scope
Anadir dominio al scope
-
Abre
Target. -
Entra en
Scope. -
Anade
https://{HOST}. -
Activa
Show only in-scope items.
Reglas utiles
| Caso | Regla |
|---|---|
| Dominio exacto | https://app.example.com |
| Subdominios | .*\.example\.com |
| Ruta concreta | https://example.com/api/.* |
Proxy
Uso normal
-
Deja
Intercept off. -
Navega la aplicacion.
-
Revisa
Proxy->HTTP history. -
Filtra por scope.
Interceptar una accion concreta
-
Prepara la accion en el navegador.
-
Activa
Intercept on. -
Ejecuta la accion.
-
Envia a Repeater o Forward.
-
Desactiva
Intercept.
HTTP history
Campos importantes
| Campo | Para que sirve |
|---|---|
| Host | Dominio o IP |
| Method | GET, POST, PUT, DELETE |
| URL | Ruta y query string |
| Params | Parametros detectados |
| Status | Codigo HTTP |
| Length | Tamano de respuesta |
| MIME type | Tipo de contenido |
Filtros utiles
-
Mostrar solo scope.
-
Ocultar imagenes y recursos estaticos.
-
Ordenar por status.
-
Buscar por parametro o endpoint.
Repeater
Enviar peticion a Repeater
-
Click derecho en request.
-
Selecciona
Send to Repeater. -
Modifica un parametro cada vez.
-
Pulsa
Send. -
Compara status, longitud y contenido.
Pruebas seguras habituales
| Objetivo | Que cambiar |
|---|---|
| Validar permisos | IDs propios dentro del laboratorio |
| Validar input | Tipos, longitud, valores vacios |
| Validar metodo | GET vs POST cuando aplique |
| Validar headers | Accept, Content-Type, tokens propios |
Intruder
Uso controlado
-
Envia una request a Intruder.
-
Marca posiciones con payloads pequenos.
-
Limita numero de peticiones.
-
Revisa diferencias de status y longitud.
criticalNo uses Intruder para fuerza bruta real ni contra terceros. Puede generar muchas peticiones y afectar al servicio.
Decoder
Casos comunes
| Dato | Accion |
|---|---|
| URL encoded | Decode as URL |
| Base64 | Decode as Base64 |
| Hex | Decode as Hex |
| JSON escapado | Unescape |
Comparer
Comparar respuestas
-
Envia response A a Comparer.
-
Envia response B a Comparer.
-
Usa comparacion por palabras o bytes.
-
Busca diferencias en mensajes, roles, IDs o flags.
Logger
Usa Logger cuando necesites ver todas las herramientas de Burp en un unico flujo, especialmente si Proxy, Repeater e Intruder generan trafico a la vez.
Checklist de revision web
Autenticacion y sesion
-
Cookies con
HttpOnly. -
Cookies con
Secure. -
Cookies con
SameSite. -
Logout invalida sesion.
-
Tokens no aparecen en URL.
Autorizacion
-
Un usuario no accede a recursos de otro.
-
Roles distintos no comparten permisos.
-
Endpoints API validan permisos en servidor.
Input
-
Parametros obligatorios.
-
Valores vacios.
-
Tipos incorrectos.
-
Longitudes extremas en laboratorio.
-
Content-Type inesperado.
Configuracion
-
Cabeceras de seguridad.
-
Errores sin stack traces.
-
Metodos HTTP no necesarios deshabilitados.
-
CORS limitado a origenes esperados.
Evidencia minima
| Campo | Que guardar |
|---|---|
| Endpoint | Metodo y URL |
| Request | Parametros relevantes |
| Response | Status y fragmento significativo |
| Impacto | Que permite o rompe |
| Reproduccion | Pasos minimos |
| Alcance | Entorno y usuario de prueba |
Errores comunes
| Sintoma | Causa probable | Solucion |
|---|---|---|
| No aparece trafico HTTPS | Falta CA de Burp | Reinstala certificado |
| Mucho ruido | Scope mal definido | Activa filtro in-scope |
| La app falla | Intercept olvidado en ON | Pasa a OFF |
| No cambia nada en Repeater | Modificas parametro no usado | Compara request real y response |
Checklist final
-
Scope definido antes de probar.
-
Intercept off por defecto.
-
Repeater para pruebas manuales.
-
Intruder solo con limites y permiso.
-
Evidencia limpia: request, response, impacto y pasos.
- EOF -