Ты когда-нибудь замечал, что сайты «знают» о тебе слишком много? Имя, корзина, сессия — всё это живёт в HTTP-запросах, которые летают между твоим браузером и сервером. Невидимо. Молча. Без твоего ведома.
Burp Suite — это инструмент, который делает невидимое видимым. Это как рентген для веба. И сегодня ты научишься им пользоваться с нуля.
🤔 Что такое Burp Suite и зачем он нужен
Burp Suite — профессиональный инструмент для тестирования безопасности веб-приложений от компании PortSwigger. Он встаёт между твоим браузером и сайтом — как переводчик, который видит каждое слово разговора — и позволяет перехватывать, читать и изменять HTTP/HTTPS-запросы на лету.
Что с этим делать:
-
Находить уязвимости: XSS, SQL-инъекции, IDOR, CSRF
-
Изменять запросы и смотреть, как сервер реагирует
-
Подбирать пароли и параметры через Intruder
-
Декодировать токены и куки
Burp Suite обязателен в арсенале любого пентестера и баг-хантера.
📦 Что ставить: Community vs Professional
| Возможность | Community (бесплатно) | Professional (платно) |
|---|---|---|
| Proxy + перехват | ✅ | ✅ |
| Repeater | ✅ | ✅ |
| Decoder / Comparer | ✅ | ✅ |
| Intruder (брут) | ⚠️ Медленный | ✅ Полная скорость |
| Сканер уязвимостей | ❌ | ✅ |
| Сохранение проекта | ❌ | ✅ |
| Burp Collaborator | ❌ | ✅ |
Для старта — Community Edition хватит за глаза. Скачивай на portswigger.net/burp/communitydownload — бесплатно, без регистрации.
🛠️ Установка и первый запуск
Шаг 1 — Скачай и установи:
|
1 2 3 4 5 |
# Kali Linux — уже предустановлен, просто открывай: burpsuite # Windows/macOS — скачай installer с сайта PortSwigger # Запускай → "Temporary project" → "Use Burp defaults" → "Start Burp" |
При первом запуске Burp грузится 10–15 секунд — это нормально, не паникуй.
Шаг 2 — Настрой прокси в браузере:
Burp по умолчанию слушает на 127.0.0.1:8080. Нужно сказать браузеру слать трафик через него.
Самый простой способ — расширение FoxyProxy для Firefox/Chrome:
-
Установи FoxyProxy
-
Добавь новый прокси: хост
127.0.0.1, порт8080 -
Включи его одним кликом когда тестируешь, выключай когда нет
Шаг 3 — Установи SSL-сертификат Burp (для HTTPS):
|
1 2 3 4 |
1. В браузере (с включённым FoxyProxy) перейди на: http://burpsuite 2. Нажми "CA Certificate" → скачается cacert.der 3. Firefox: Настройки → Безопасность → Сертификаты → Импорт 4. Поставь галочки "Доверять для сайтов" → OK |
Без этого шага HTTPS-сайты будут выдавать ошибку сертификата.
🎯 Перехватываем первый запрос — пошагово
Теперь самое интересное. Используем встроенный браузер Burp или настроенный Firefox.
Шаг 1 — Включи перехват:
|
1 |
Вкладка Proxy → Intercept → кнопка "Intercept is ON" |
Шаг 2 — Открой любой сайт (например, тестовый http://testphp.vulnweb.com) — страница зависнет. Это значит запрос пойман!
Шаг 3 — Посмотри что поймал:
В окне Intercept увидишь что-то вроде:
|
1 2 3 4 5 |
GET /login.php HTTP/1.1 Host: testphp.vulnweb.com User-Agent: Mozilla/5.0 Cookie: PHPSESSID=abc123xyz Accept: text/html |
Вот оно — твоё первое письмо без конверта 📬 Видишь Cookie? Именно здесь сидит сессия пользователя.
Шаг 4 — Прокинь запрос дальше:
|
1 2 |
Нажми кнопку "Forward" — запрос уйдёт на сервер Или "Drop" — запрос умрёт здесь |
Шаг 5 — Отключи перехват когда насмотрелся:
|
1 |
Proxy → Intercept → "Intercept is OFF" |
Теперь трафик идёт насквозь, но история сохраняется во вкладке HTTP History.
🔧 Главные инструменты Burp — быстрый гайд
Repeater — твой лучший друг для ручного тестирования
Нашёл интересный запрос? Отправляй его в Repeater и крути как хочешь:
|
1 |
В окне Intercept → ПКМ → "Send to Repeater" (или Ctrl+R) |
В Repeater меняй параметры и жми Send — видишь ответ сервера мгновенно. Именно здесь находят SQL-инъекции, IDOR и прочие вкусности.
|
1 2 3 4 5 6 7 |
# Было: GET /profile?id=42 HTTP/1.1 # Стало (меняем id): GET /profile?id=43 HTTP/1.1 # Если сервер вернул чужой профиль — поздравляю, IDOR найден 🎉 |
Intruder — автоматизация атак
Интрудер нужен для перебора — паролей, параметров, токенов. В Community-версии он медленный, но для обучения хватит:
|
1 |
Proxy → HTTP History → ПКМ на запрос → "Send to Intruder" (Ctrl+I) |
Выдели параметр, поставь § вокруг него, загрузи список wordlist — и жди результатов.
Decoder — швейцарский нож кодировок
|
1 2 3 |
Base64: eyJhbGciOiJIUzI1NiJ9 → Decoder → Decode as Base64 URL: admin%40mail.ru → Decoder → Decode as URL Hex: 666c616731 → Decoder → Decode as Hex |
Ctrl+Shift+B — быстро закодировать в Base64 прямо в любом окне.
⌨️ Горячие клавиши — распечатай и повесь над столом
| Действие | Шорткат |
|---|---|
| Отправить в Repeater | Ctrl+R |
| Отправить в Intruder | Ctrl+I |
| URL-encode | Ctrl+Shift+U |
| Base64-encode | Ctrl+Shift+B |
| Отправить в Comparer | Ctrl+Shift+C |
🚨 Санити-чек для начинающих
Три ошибки, которые делают все новички:
-
❌ Тестируют боевые сайты — никогда, только учебные стенды (DVWA, WebGoat, HackTheBox, TryHackMe). Уголовка не стоит любопытства
-
❌ Забывают выключить Intercept — потом удивляются, почему всё тормозит и не грузится
-
❌ Не смотрят HTTP History — а там хранится ВЕСЬ трафик. Золотая жила для анализа приложения
🏁 Домашка
-
Скачай Burp Suite Community и настрой FoxyProxy
-
Установи сертификат — поймай первый HTTPS-запрос
-
Зайди на
http://testphp.vulnweb.com, поймай запрос формы логина и отправь его в Repeater -
Попробуй изменить любой параметр и посмотри как реагирует сервер
Каждый запрос — это письмо без конверта. Burp Suite даёт тебе право его читать. Используй эту силу мудро и только на том, на что есть разрешение. 🔐😎
