Instalación y Configuración

Lo primero que debemos hacer es instalar la herramienta. Para realizar la descarga, deben entrar en la web oficial: https://portswigger.net/burp/download.html y descargarlo en el formato y para el sistema operativo que quieran.

En mi caso, voy a utilizarlo desde Windows, pero los que tienen por ejemplo Kali Linux, esta herramienta ya viene incluida dentro de la propia distribución.

Para configurar Burp Suite lo primero que debemos tener en cuenta es la correcta configuración del proxy, ya que sin esto, no podremos utilizar nuestra herramienta.

El proxy se encontrará en medio de la comunicación entre los navegadores y el servidor web de la página que estamos auditando.
Para ello, abrimos Burp Suite y accedemos a la pestaña Proxy -> Options y nos aseguramos que la opción Running esté marcada y seleccionamos el puerto que queramos  utilizar (por defecto 127.0.0.1:8080).

 

Toca configurar el navegador, para ello, deberemos elegir el navegador que queramos, en mi caso voy a utilizar Firefox.
Simplemente, deberemos ir a Opciones -> Avanzado -> Red -> Configuración

En configuración manual del proxy, ponemos localhost (127.0.0.1) y puerto 8080 (esta configuración debe ser la misma que hemos puesto en el proxy de Burp Suite).


Esta sería la configuración básica del proxy, sin embargo, cada vez que queramos navegar sin utilizar el proxy de Burp, deberemos entrar de nuevo a este menú y deshabilitarlo.
O se puede usar:

Foxy Proxy

Foxy Proxy es un administrador avanzado de proxies que permite derivar su conexión de Internet a diferentes servidores Proxy bajo patrones de URL. Antes de configurarlo, deberemos descargar e instalar el complemento desde aquí: https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/ (También disponible para Chrome).

En mi caso ya tengo configurado el proxy de burp (color naranja), pero simplemente debemos añadir un nuevo proxy:

 

En la pestaña General, le ponemos el nombre que queramos (en mi caso: “Burp”) y le asignamos un color (en mi caso: naranja).


En la pestaña Detalles, seleccionamos el host o IP y el puerto (recordar usar la misma que pusimos en Burp Suite).


Por último, FoxyProxy nos permite añadir o eliminar direcciones para las que se usará el proxy (listas blancas/listas negras). Como ejemplo, he añadido cualquier dominio de la NSA a la lista negra (no queremos que nos vengan a buscar :D).