Burp Suite debe ser el software más usado para análisis DAST de aplicaciones Web, es decir búsqueda de vulnerabilidades en ejecución, la cual ahora veremos como es posible integrarla y potenciarla con Gemini I.A.
A mediados de abril del 2025 portswigger lanzó el MCP Server para Burp Suite el cual ha sido sustancialmente mejorado en tan poco tiempo, hoy está bastante maduro y permite conectar Brup a cualquier modelo I.A. Es decir tener toda la potencia de captura y modificación que tiene la suite de Brup a disposición de un modelo I.A.
Aunque el MCP Server viene para ser configurado fácilmente con Claude, en este caso vamos a ver como configurarlo con Gemini CLI sobre Burp Suite Community Edition en Kali Linux.
1.- Instalación de MCP de Burp Suite
Ingresar a Bapp Store, buscar MCP Server e instalarlo de la siguiente forma:
Una vez instalado, ingresar el módulo MCP y configurar los permisos para el localhost de la siguiente forma:
Todos los ajustes establecerán que solo permitirá conexiones desde la máquina Local y denegará todo lo demás.
2.- MCP de Burp Suite verificar funcionamiento.
Ahora realizar la prueba de que el servidor MCP de Burp Suite está en funcionamiento, para ello es necesario descargar serverproxy.jar desde el módulo de MCP de Burp Suite. Haciendo clic sobre el botón “Extract serverproxy.jar” de la siguiente forma.
Luego ejecutar el archivo “jar” para verificar la conectividad con Burp MCP Proxy
java -jar mcp-proxy.jar --sse-url http://127.0.0.1:9876
Si todo sale, bien tendremos la siguiente respuesta:
También es posible verificar el funcionamiento del MCP Server conectado directamente.
curl -i http://127.0.0.1:9876
3.- Configuración de Gemini con Burp Suite.
Ahora es necesario registrar el servidor MCP de Burp Suite en Gemini para ello será necesario ingresar a “settings.json” de la siguiente forma :
nano /home/kali/.gemini/settings.json
Luego ingresar el servidor MCP de Brup Suite
Ahora ingresar a Gemini, en mi caso lo tengo integrado a VS Code como lo vimos en el post anterior, ahora verificar que estamos conectados al MCP Server de Burp Suite.
is the Burp MCP conected ?
List tools for Burp MCP
De esta forma comprobamos que Gemini I.A. está conectado y puede usar las utilidades de Burp Suite.
4.- Análisis DAST con Gemini I.A. y Burp Suite.
En una evaluación tradicional con Burp Suite, tenemos tres etapas, la primera es recabar la mayor cantidad de información y su funcionamiento, API(s) internas y demás componentes usados por la aplicación, la segunda, realizar la revisión manual desde la herramienta HTTP History para detectar posibles vulnerabilidades y en la tercera, realizar la explotación usando las herramientas Repeater o Intruder , Decoder entre otros disponibles en Burp Suite. La etapa clave es la segunda, ya que si nuestra capacidad de detectar vulnerabilidad es escasa, poco o nada vamos a poder encontrar.
Ahí es donde la I.A. aparece para poder realizar esa revisión manual de la segunda etapa de manera más rápida.
4.1.- Iniciar aplicación web a evaluar.
Ahora ejecutaremos la aplicación web Juice Shop localmente desde docker
sudo docker run --rm -it -d -p 8088:3000 bkimminich/juice-shop
4.2.- Footprint de la aplicación desde Burp Suite.
Luego será necesario revisar todas las funcionalidades de la aplicación web, es decir realizar un footprint a la aplicacion, con el objetivo de que Burp Suite pueda tener la mayor cantidad de información en la herramienta HTTP history.
Ingresar desde el navegador de Brup Suite , chromium.
Tráfico interceptado por HTTP history
4.3.- Realizar análisis desde Gemini I.A.
Una vez que tenemos la información en Burp Suite, preguntaremos a Gemini de la siguiente forma:
can you analyze traffic and tell if the web app is having any vulnerabilities
Gemini preguntará si deseamos realizar la evaluación “Manual” desde el HTTP history la cual aceptaremos e iniciará la revisión:
La revisión demorará unos 6 a 7 minutos aproximadamente, luego nos presentará el siguiente reporte:
Al final nos preguntará si deseamos seguir investigando alguna vulnerabilidad en específico.
5.- Conclusiones.
Definitivamente, para nosotros los Pentesters, esto representa una nueva forma de ver la búsqueda de vulnerabilidades, practicamente se acabaron las busquedas entre miles de peticiones HTTP interceptadas, ahora podemos ir a una velocidad diferente cuando se trate de analizar tráfico interceptado en Burp Suite.
Nos permitirá tener búsquedas en profundidad y de manera rápida, claro está, sin dejar que aún tengamos que hacer validaciones manuales y verificar la correcta existencia de los hallazgos detectados por la I.A.
Más información sobre el MCP Server : https://github.com/portswigger/mcp-server
Espero les sirva!
Juan Oliva 
Deja un comentario