How to use Burp Suite in Linux for web penetration tests

Posted onbyBlockmyIP| Category:Linux Programs

Introduction

Burp Suite es una de las herramientas más populares para realizar pruebas de seguridad en aplicaciones web. En entornos Linux, su instalación y configuración pueden adaptarse a flujos de trabajo basados en la línea de comandos y a entornos de desarrollo contenedorizados. Este artículo muestra paso a paso cómo poner Burp Suite a trabajar en una distribución Linux típica, aprovechando sus características más útiles para auditores y desarrolladores.

Previous requirements

Antes de instalar Burp Suite, asegúrate de tener Java instalado, ya que la herramienta depende del entorno de ejecución de Java. En la mayoría de distribuciones, puedes instalar OpenJDK con el gestor de paquetes:

  • Ubuntu / Debian:sudo apt update && sudo apt install openjdk-17-jre
  • Fedora:sudo dnf install java-17-openjdk
  • Arch Linux:sudo pacman -S jre17-openjdk

Verifica la versión conjava -versionpara confirmar que sea al menos la 11.

Download and install

Burp Suite ofrece una edición Community gratuita y versiones Professional y Enterprise de pago. Para empezar, descarga el instalador de la edición Community desde el sitio oficial de PortSwigger:

  • Visithttps://portswigger.net/burp/communitydownload
  • Elige el paqueteLinux installer (sh)y guarda el archivo, por ejemploburpsuite_community_linux_v2024_9.sh
  • Otorga permisos de ejecución:chmod +x burpsuite_community_linux_v2024_9.sh
  • Ejecuta el instalador:./burpsuite_community_linux_v2024_9.shy sigue las indicaciones (normalmente acepta el directorio por defecto/opt/BurpSuiteCommunity)

Al finalizar, puedes lanzar Burp Suite desde el menú de aplicaciones o mediante la terminal con/opt/BurpSuiteCommunity/BurpSuiteCommunity.

Basic configuration

La primera vez que arranques Burp Suite, se te pedirá crear un proyecto temporal o guardar uno permanente. Para pruebas esporádicas, el proyecto temporal es suficiente; si deseas mantener historial, elige «Save project» y especifica una ubicación.

En la pestaña «Proxy», asegúrate de que el listener esté activo en el puerto predeterminado 8080 y que la interfaz esté configurada en «All interfaces» si planeas probar desde otros contenedores o máquinas virtuales.

Integrando Burp Suite con el navegador

Para capturar el tráfico, configura tu navegador para usar el proxy de Burp:

  • En Firefox: Preferencias → General → Configuración de red → Configuración → Manual proxy proxy:127.0.0.1, puerto8080, marcar «Usar este proxy servidor para todos los protocolos».
  • En Chrome/Chromium: puedes usar la extensión «SwitchyOmega» o lanzar el navegador con el flag--proxy-server=http://127.0.0.1:8080.

No olvidar instalar el certificado CA de Burp en el navegador para poder interceptar conexiones HTTPS: en Burp, ve a «Proxy» → «Options» → «Import / export CA certificate» → «Certificate in DER format» y guárdalo; luego impórtalo en el navegador bajo «Autoridades de certificación».

Flujos de trabajo comunes

Una vez que el tráfico fluye a través del proxy, puedes usar las siguientes pestañas:

  • Target: muestra el mapa del sitio y permite agregar alcances (scope) para limitar las pruebas a dominios específicos.
  • Proxy: aquí ves las peticiones y respuestas en tiempo real; puedes hacer clic derecho y enviar a otras herramientas como Intruder o Repeater.
  • Intruder: ideal para ataques de fuerza bruta, fuzzing de parámetros o prueba de payloads personalizados. Configura las posiciones de ataque, elige un tipo de ataque (sniper, battering ram, pitchfork, cluster bomb) y carga listas de palabras desde archivos de texto.
  • Repeater: permite modificar y reenviar peticiones individualmente, útil para ajustar headers, cookies o cuerpos y observar el comportamiento del servidor.
  • Scanner(solo en ediciones de pago): realiza un escaneo automatizado de vulnerabilidades comunes como XSS, SQLi, configuraciones erróneas, etc.
  • Sequencer: analiza la aleatoriedad de tokens de sesión, útil para evaluar la calidad de generadores de IDs.
  • Decoder: herramienta rápida para codificar/decodificar datos en Base64, URL, HTML, etc.

Tips para mejorar el rendimiento en Linux

  • Asigna más memoria a la JVM si trabajas con proyectos grandes: edita el archivo de arranque (BurpSuiteCommunity.vmoptions) y aumenta-Xmxa 2g o más según tu RAM disponible.
  • Usa un sistema de archivos rápido (ext4, xfs o btrfs) y coloca el directorio del proyecto en un SSD para reducir latencias al guardar el historial.
  • Si ejecutas Burp dentro de un contenedor Docker, monta un volumen para el directorio del proyecto y asigna privilegios de red (--net=host) o publica el puerto 8080.
  • Mantén Java actualizado; las versiones más recientes incluyen mejoras de rendimiento del recolector de basura y de JIT.
  • Desactiva extensiones innecesarias en el navegador mientras pruebas para evitar interferencias y sobrecarga de CPU.

Conclusion

Burp Suite en Linux combina la potencia de una herramienta de pruebas profesionales con la flexibilidad y el control de los sistemas basados en Unix. Siguiendo los pasos de instalación, configuración y los flujos de trabajo descritos, podrás realizar auditorías web eficaces, desde pruebas manuales rápidas hasta análisis más profundos con Intruder y Repeater. Recuerda siempre trabajar dentro del alcance autorizado y respetar las políticas de seguridad de los sistemas que evalúas.

This work is under aCreative Commons License Attribution 4.0 International for Francesc Roig francesc @ vivaldi.net.

EnglishenEnglishEnglish
SpanishesSpanishEspañolEnglishenEnglishEnglish