المهارات Burp Suite Web Application Testing
📦

Burp Suite Web Application Testing

آمن

Domina las Pruebas de Seguridad de Aplicaciones Web con Burp Suite

Las pruebas de seguridad de aplicaciones web requieren una metodología sistemática y las herramientas adecuadas. Esta guía proporciona orientación integral para usar Burp Suite con el fin de interceptar tráfico, modificar solicitudes y descubrir vulnerabilidades en pruebas de seguridad autorizadas.

يدعم: Claude Codex Code(CC)
📊 71 كافٍ
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "Burp Suite Web Application Testing". El usuario quiere interceptar y modificar una solicitud del carrito de compras para probar manipulación de precios

النتيجة المتوقعة:

  • 1. Navega a Proxy > Intercept y asegúrate de que 'Intercept is on'
  • 2. Agrega un artículo al carrito en el navegador - la solicitud se pausará en Burp
  • 3. Localiza el parámetro de precio en la solicitud POST interceptada (ej. price=9999)
  • 4. Modifica el valor directamente (ej. cambia a price=1)
  • 5. Haz clic en Forward para enviar la solicitud modificada
  • 6. Completa el checkout y verifica si el precio manipulado fue aceptado
  • 7. Documenta el hallazgo: El servidor confía en los valores de precio proporcionados por el cliente - defecto crítico de lógica de negocio

استخدام "Burp Suite Web Application Testing". El usuario quiere probar un formulario de inicio de sesión para inyección SQL usando Repeater

النتيجة المتوقعة:

  • 1. Envía credenciales de inicio de sesión normalmente y captura la solicitud en Proxy
  • 2. Haz clic derecho en la solicitud y selecciona 'Send to Repeater'
  • 3. En la pestaña Repeater, modifica el nombre de usuario a: admin' OR '1'='1'--
  • 4. Haz clic en Send y analiza la respuesta
  • 5. Busca indicadores: inicio de sesión exitoso, errores de base de datos o diferente longitud de respuesta
  • 6. Si el inicio de sesión succeeds con la carga útil de inyección, documenta como vulnerabilidad de inyección SQL
  • 7. Prueba cargas útiles adicionales para confirmar y caracterizar la vulnerabilidad

التدقيق الأمني

آمن
v1 • 2/25/2026

This skill is a documentation/tutorial file (SKILL.md) that teaches users how to use Burp Suite for authorized web application security testing. All static analysis findings are false positives: the detected 'external commands' are Markdown code formatting, 'network' references are localhost/Burp's local URLs, and 'path traversal' patterns are educational example payloads. No executable code or security risks present.

1
الملفات التي تم فحصها
381
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
50
المجتمع
100
الأمان
65
الامتثال للمواصفات

ماذا يمكنك بناءه

Ingeniero de Seguridad Realizando Pruebas de Penetración Autorizadas

Un profesional de seguridad necesita probar la aplicación web de un cliente en busca de vulnerabilidades. Usa esta guía para configurar el proxy de Burp Suite, interceptar solicitudes de autenticación, probar inyección SQL en formularios de inicio de sesión y ejecutar escaneos automatizados para identificar problemas de seguridad antes de proporcionar recomendaciones de remediación.

Desarrollador Aprendiendo Seguridad de Aplicaciones

Un desarrollador de software quiere entender cómo los atacantes explotan las vulnerabilidades web. Sigue la guía de esta habilidad para configurar Burp Suite, interceptar el tráfico de su propia aplicación, modificar parámetros para probar casos extremos y aprender a identificar y corregir problemas de seguridad en su código.

Investigador de Bug Bounty Probando Objetivos con Alcance Limitado

Un cazador de recompensas por errores usa esta guía para probar eficientemente aplicaciones web dentro del alcance. Configura el alcance del objetivo para evitar solicitudes fuera del alcance, usa Repeater para probar parámetros interesantes y aplica ataques Intruder para descubrir omisiones de autenticación o defectos de lógica de negocio.

جرّب هذه الموجهات

Principiante: Configurar el Proxy de Burp Suite 
Ayúdame a configurar Burp Suite para interceptar tráfico HTTP de mi navegador. Tengo Burp Suite Community Edition instalado. Guíame a través del lanzamiento del navegador integrado, habilitar la interceptación y verificar que las solicitudes se estén capturando en el historial HTTP.
Intermedio: Probar Inyección SQL 
Encontré un formulario de inicio de sesión con campos de nombre de usuario y contraseña. Guíame a través del envío de la solicitud de inicio de sesión a Burp Repeater y probar vulnerabilidades de inyección SQL. Muéstrame qué cargas útiles probar y cómo analizar las respuestas para detectar signos de inyección SQL.
Avanzado: Configurar Escaneo Automatizado 
Necesito ejecutar un escaneo de seguridad completo en una aplicación web en https://test-target.example.com. Ayúdame a configurar un nuevo escaneo en Burp Suite Professional con configuraciones apropiadas para un escaneo equilibrado, establecer correctamente el alcance del objetivo y explicar cómo interpretar los resultados del escaneo.
Experto: Prueba de Lógica de Negocio con Intruder 
Estoy probando una aplicación de comercio electrónico en busca de vulnerabilidades de manipulación de precios. Guíame a través del envío de una solicitud POST del carrito a Burp Intruder, configurar posiciones de carga útil para el parámetro de precio, configurar una lista de valores de prueba y analizar las respuestas para identificar si el servidor confía en los precios proporcionados por el cliente.

أفضل الممارسات

  • Siempre define el alcance del objetivo antes de probar para evitar solicitudes accidentales fuera del alcance y reducir el ruido en el historial HTTP
  • Usa el navegador integrado de Burp para una integración de proxy confiable sin configuración manual de certificados
  • Guarda tu proyecto de Burp regularmente para preservar el progreso de pruebas, mapas del sitio y hallazgos
  • Verifica manualmente todos los resultados del escaneo automatizado para eliminar falsos positivos antes de informar
  • Limita la velocidad de escaneos automatizados y ataques Intruder para evitar activar bloqueos de WAF o causar denegación de servicio

تجنب

  • Probar aplicaciones sin autorización escrita explícita - solo prueba sistemas que poseas o tengas permiso para evaluar
  • Ejecutar escaneos agresivos contra sistemas de producción sin limitación de velocidad - puede causar interrupción del servicio
  • Ignorar la configuración del alcance del objetivo - lleva a capturar solicitudes de terceros y problemas legales potenciales
  • Informar hallazgos del escáner automatizado sin verificación manual - resulta en informes de falsos positivos

الأسئلة المتكررة

¿Cuál es la diferencia entre las ediciones Burp Suite Community y Professional?
Community Edition incluye Proxy, Repeater, Intruder (limitado por velocidad) y extensiones. Professional agrega escaneo automatizado de vulnerabilidades, funcionalidad completa de Intruder y herramientas avanzadas. Community es gratis; Professional requiere una licencia pagada.
¿Cómo instalo el certificado CA de Burp para interceptación HTTPS?
Con Burp ejecutándose, navega a http://burp en tu navegador y haz clic en 'CA Certificate' para descargar. Instala el certificado en las autoridades de certificados de confianza de tu navegador o sistema. Reinicia tu navegador después de la instalación.
¿Por qué mis solicitudes del navegador no aparecen en el historial HTTP de Burp?
Verifica que: (1) el listener del proxy esté activo en Proxy > Options, (2) tu proxy de navegador esté configurado a 127.0.0.1:8080, (3) ningún firewall esté bloqueando conexiones locales, y (4) la URL del objetivo use HTTP o tengas el certificado CA instalado para HTTPS.
¿Qué hace 'Send to Repeater' y cuándo debo usarlo?
Repeater te permite modificar y reenviar solicitudes individuales manualmente. Úsalo cuando quieras probar variaciones específicas de parámetros, hacer fuzz a entradas o reproducir comportamiento interesante. Es ideal para pruebas manuales dirigidas de endpoints específicos.
¿Cómo puedo probar solo partes específicas de una aplicación web?
Usa la función de alcance del objetivo de Burp. Haz clic derecho en el host del objetivo en Target > Site map y selecciona 'Add to scope'. Luego habilita 'Show only in-scope items' en el filtro de visualización. Esto enfoca tus pruebas y evita solicitudes accidentales fuera del alcance.
¿Qué debo hacer si el escáner automatizado de Burp está funcionando lentamente?
Reduce el alcance a URLs esenciales, selecciona un modo de escaneo más rápido (Lightweight o Fast en lugar de Deep), aumenta el tamaño del heap de Java en la configuración de inicio de Burp, desactiva extensiones no usadas y cierra pestañas innecesarias de Burp para liberar recursos.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/burp-suite-testing

مرجع

main

بنية الملفات

📄 SKILL.md