BurpSuite: cómo interceptar y analizar HTTP

Clase 4 de 14 • Curso de Hacking: Aplicaciones Web Server Side

Resumen

Domina el análisis de solicitudes HTTP con BurpSuite en Kali para realizar auditorías web efectivas. Aquí verás cómo interceptar, modificar y comprender cada parte de un URL, así como aprovechar cabeceras, parámetros y el historial para descubrir vectores de prueba. Conecta conceptos clave como HTTP/HTTPS, proxy e inyección de parámetros con ejemplos prácticos.

¿Cómo usar BurpSuite para interceptar solicitudes HTTP?

BurpSuite Community permite crear proyectos temporales y analizar tráfico HTTP/HTTPS con un navegador integrado o a través de un proxy. Al interceptar, puedes pausar, editar y reenviar solicitudes para observar el comportamiento del servidor y detectar oportunidades de prueba.

¿Cómo iniciar BurpSuite en Kali y abrir el navegador integrado?

Buscar BurpSuite en Kali y ejecutarlo.
Elegir proyecto temporal, clic en Next y Start burp.
Abrir el navegador integrado con Open Browser.
Navegar a un sitio (por ejemplo, www.google.com) y observar que las solicitudes se interceptan.

¿Cómo funciona el proxy y la opción de interceptar?

Puedes usar el navegador integrado o configurar otro para pasar por el proxy de BurpSuite.
La opción de interceptar pausa cada solicitud para editarla antes de enviarla.
Al permitir la solicitud, verás múltiples respuestas si la página descarga varios recursos.
Al detener la intercepción, todo se envía al historial para su análisis.

¿Qué habilidades prácticas desarrollas con BurpSuite?

Configurar un proxy y gestionar interceptación.
Editar cabeceras como User-Agent para simular navegadores.
Modificar parámetros en GET y POST.
Leer y comparar solicitud y respuesta del servidor.
Enviar solicitudes al Intruder para pruebas automatizadas por posiciones.

¿Qué revela y cómo modificar una solicitud HTTP?

HTTP es el protocolo que transporta hipertexto (HTML) y muestra aplicaciones web; su versión segura es HTTPS. Con BurpSuite puedes inspeccionar qué se envía y qué regresa, entender cabeceras y cuerpos, y detectar parámetros que aceptan datos para auditoría.

¿Qué partes puedes observar y editar en una solicitud?

Línea de solicitud: método, ruta y versión del protocolo.
Cabeceras: agente, tipo de contenido, autenticación, entre otras.
Cuerpo: datos de formularios o JSON en métodos como POST.
Parámetros: visibles en GET; invisibles en POST, van en cabeceras/cuerpo.

¿Cómo apoya el historial y el panel de análisis?

Historial con todas las solicitudes y respuestas.
Etiquetas sobre si tenía parámetros, si fue editada y el tipo de dato (texto, script, HTML o JSON).
Vista paralela de solicitud y respuesta para correlacionar cambios.
Menú contextual para enviar al Intruder y ejecutar ataques por posiciones.

¿Por qué es útil para auditoría web?

Permite inyectar parámetros en GET y POST.
Ayuda a observar comportamientos del servidor ante entradas alteradas.
Facilita descubrir puntos de entrada y validar hipótesis de seguridad.

¿Cómo se compone un URL y por qué importa en auditoría web?

Comprender la estructura de un URL guía dónde buscar superficies de ataque y cómo manipularlas con precisión. Desde el esquema y puerto hasta los parámetros y fragmentos, cada parte puede aportar pistas sobre servicios, rutas y funcionalidades.

¿Qué significa cada parte del URL?

Esquema o protocolo: HTTP, HTTPS (seguro) o FTP.
Autenticación: usuario:contraseña para acceder, poco común pero posible.
Subdominio: por ejemplo, www o control en control.sitioweb.com.
Dominio principal u host: puede ser dominio (website.com) o dirección IP.
Puerto: 80, 443, 8080, 8081 o uno específico como 1570.
Ruta: carpetas como Products y archivos como ViewProduct.php.
Parámetros en GET: después de “?”, por ejemplo, id=3 o id=3&category=10.
Método POST: envía datos por cabeceras/cuerpo, no se ven en el URL.
Fragmento: referencia interna como /gato/contacts para saltar a una sección.

¿Cómo usar esta información durante una auditoría?

Buscar subdominios para hallar aplicaciones adicionales.
Identificar puertos para saber dónde corre cada servicio.
Mapear carpetas y archivos expuestos en la ruta.
Detectar parámetros inyectables para pruebas controladas.
Correlacionar cambios de parámetros con respuestas del servidor.

¿Tienes preguntas o casos que quieras probar con BurpSuite y HTTP? Comenta tus dudas y comparte tus hallazgos para aprender en comunidad.

Francisco Daniel Carvajal Becerra

teacher•

Cabe mencionar que las extensiones como: ".com", ".mx", ".net", ".org" o cualquier otra extensión que conozcan, se le conoce como TLD (Topo Level Domain)

Daniel Bonilla

student•

Burp Suite es una plataforma digital que reúne herramientas especializadas para realizar pruebas de penetración en aplicaciones web

GILBERTO ANTONIO QUIROGA SIERRA

student•

asi es

Javier Ramos

student•

HTTP: Hypertext Transfer Protocol HTTPS: Hypertext Transfer Protocol Secure Burp Suite Es una herramienta que permite abrir un navegador el cual interceptara todas las solicitudes que se hagan a través de el o bien se puede usar el proxy que trae para que se configure como proxy en el navegador de uso diario

Esto interceptara todas las solicitudes http y las detendrá permitiendo editarla con fines de auditoria y pruebas

Burp Suite conserva un historia de las interceptaciones y los cambios efectuados los cuales sirven para enviar a otras herramientas Como funciona una solicitud Http ?

Jonas Ivan Tsuchida

student•

Un curso dedicado especialmente a "Burpsuite" estaría brutal.

GILBERTO ANTONIO QUIROGA SIERRA

student•

Burpheat es una herramienta de análisis de solicitudes HTTP que se utiliza para realizar auditorías de seguridad en aplicaciones web. Permite interceptar, modificar y enviar solicitudes HTTP, lo que te ayuda a identificar vulnerabilidades en el sitio web.

Para utilizar Burpheat en auditorías HTTP, sigue estos pasos:

Inicia Burpheat y abre el navegador integrado.
Navega a la aplicación web que deseas auditar; las solicitudes HTTP serán interceptadas automáticamente.
Modifica los parámetros de las solicitudes según sea necesario para probar posibles vulnerabilidades.
Revisa el historial de solicitudes y respuestas para analizar el comportamiento del servidor.

Esto te permitirá realizar pruebas de penetración y encontrar fallos en la seguridad de tus aplicaciones web.

andres fierro

student•

Buenas tardes siguiedo los pasos del curso cuando le doy en la parte de OpenBrowser no me abre la pagina me muestra la siguiente:

Intercept is off

andres fierro

student•

Bueno lo cambie a Intercept is on pero no me abre la ventana de navegacion

andres fierro

student•

El mensaje que me arroBurp Browser error

.net.postswigger.devtools.client.a: Unable to start browser libra error:vaGetDriverNameByIndex()failed with unknow libvra error, driver_name =(null)ja es el siguiente:

Eduardo Recinos

student•

Si deseas profundizar sobre BurpSuite ya que muchos quieren conocer más sobre el tema portswigger tiene su academia y acá abajo dejo el link y sí es gratuita.

Web Security Academy: Free Online Training from PortSwigger

Jhon Sebastian Zuluaga Castañeda

student•

Es seguro que los sitios web muestren el puerto?

Raymundo Vasquez Frielson

student•

Burpsuite: Es un software que te permite auditar un sitio web de manera automatica o manual, interceptar solicitudes http y modificarla en en proceso de comunicacion, en la parte del proxy, tambien esta intruder que nos permitir automatizar ciertos ataques como fuerza bruta u otros.

Laura Rojas

student•

Para descargar Burp Suite en Kali Linux, sigue estos pasos:

Abre la terminal en Kali Linux.
Ejecuta el siguiente comando para asegurarte de que tu sistema esté actualizado:
```
sudo apt update && sudo apt upgrade
```
Instala Burp Suite con el siguiente comando:
```
sudo apt install burpsuite
```

Una vez completada la instalación, puedes iniciar Burp Suite desde el menú de aplicaciones o escribiendo burpsuite en la terminal.

BurpSuite: cómo interceptar y analizar HTTP

Introducción al Hacking de Aplicaciones Web

Hacking de Aplicaciones Web del Lado del Servidor

Configuración de Kali Linux en VMware Workstation Pro

Seguridad en Aplicaciones Web: OWASP Top 10 y Testing Guide