Czym jest Burp Suite?
Burp Suite to zestaw narzędzi do testowania bezpieczeństwa aplikacji webowych, stworzony przez firmę PortSwigger. Działa jako proxy – pośrednik między Twoją przeglądarką a serwerem. Kiedy wchodzisz na stronę internetową, Twoja przeglądarka wysyła zapytanie HTTP do serwera, a serwer odpowiada. Normalnie tego nie widzisz. Burp Suite wchodzi w środek tej komunikacji i pozwala Ci zobaczyć każde zapytanie i każdą odpowiedź.
Ale nie chodzi tylko o podglądanie. Burp pozwala też zatrzymać zapytanie w locie, zmodyfikować je i dopiero wtedy wysłać dalej. To właśnie ta możliwość – ingerencja w komunikację między przeglądarką a serwerem – sprawia, że narzędzie jest tak przydatne do szukania podatności.
konsultacje
Wzmocnij cyberbezpieczeństwo
swojej firmy już dziś!
Zapisz się na 30-minutową darmową konsultację, aby wstępnie omówić potrzeby związane z cyberbezpieczeństwem w Twojej firmie.
Wspólnie znajdziemy rozwiązanie dopasowane do specyfiki Twojej działalności!
Community vs Professional – którą wersję wybrać?
Burp Suite istnieje w trzech wariantach. Na start interesują Cię dwa:
|
Cecha |
Community Edition (darmowa) |
Professional ($449/rok) |
|
Proxy (przechwytywanie ruchu) |
Tak |
Tak |
|
Repeater (ręczne wysyłanie zapytań) |
Tak |
Tak |
|
Intruder (automatyczne ataki) |
Ograniczony (wolny) |
Pełna prędkość |
|
Automatyczny skaner podatności |
Nie |
Tak |
|
Zapisywanie projektów |
Nie |
Tak |
|
Rozszerzenia (BApp Store) |
Ograniczone |
Pełny dostęp |
Na początek Community Edition w zupełności wystarczy. Proxy, Repeater i podstawowy Intruder to i tak narzędzia, z którymi spędzisz 80% czasu. Wersję Professional warto rozważyć, kiedy zaczniesz robić testy penetracyjne zawodowo.
Instalacja Burp Suite – trzy minuty i gotowe
Pobierz instalator ze strony portswigger.net/burp/communitydownload. Burp Suite działa na Windowsie, macOS i Linuxie. Wymaga Javy, ale instalator zawiera ją w pakiecie – nie musisz nic doinstalowywać osobno.
Po uruchomieniu Burp Suite pyta o projekt i konfigurację. Na start kliknij „Next”, potem „Start Burp” – domyślne ustawienia są w porządku. Za kilka sekund zobaczysz główne okno programu.
Konfiguracja proxy – jak skierować ruch przez Burp?
Burp Suite domyślnie nasłuchuje na adresie 127.0.0.1 (localhost) i porcie 8080. Żeby przechwytywać ruch z przeglądarki, musisz powiedzieć przeglądarce, żeby kierowała zapytania przez ten adres.
Najłatwiejszy sposób: wbudowana przeglądarka Burp. Od kilku wersji Burp Suite zawiera wbudowaną przeglądarkę (opartą na Chromium), która jest automatycznie skonfigurowana do pracy z proxy. Znajdziesz ją w zakładce Proxy → kliknij „Open browser”. Zero konfiguracji, od razu działa.
Sposób z Twoją przeglądarką. Jeśli wolisz używać własnego Firefoksa lub Chrome’a, musisz ręcznie ustawić proxy:
- W Firefoxie: Ustawienia → Ogólne → na dole „Ustawienia sieciowe” → „Ręczna konfiguracja serwera proxy”. Wpisujesz 127.0.0.1 jako adres i 8080 jako port. Zaznaczasz „Użyj tego serwera proxy dla wszystkich protokołów”.
- W Chrome warto zainstalować rozszerzenie Proxy SwitchyOmega– pozwala przełączać proxy jednym kliknięciem, bez grzebania w ustawieniach za każdym razem.
Ważna rzecz: po zakończeniu testów pamiętaj o wyłączeniu proxy. Jeśli tego nie zrobisz, a Burp będzie wyłączony, przeglądarka nie będzie w stanie połączyć się z żadną stroną.
konsultacje z cyberguru
Gotowy na wzmocnienie cyberbezpieczeństwa swojej firmy?
Zarezerwuj darmową 30-minutową konsultację, aby omówić potrzeby Twojej firmy w zakresie ochrony danych i cyberbezpieczeństwa. Wspólnie zidentyfikujemy zagrożenia i znajdziemy najlepsze rozwiązania dopasowane do Twojego biznesu.
Porozmawiajmy! Kliknij w poniższy przycisk i umów się na bezpłatną konsultację.
Przechwytywanie ruchu – zakładka Intercept
Wejdź w zakładkę Proxy → Intercept. Upewnij się, że przycisk „Intercept is on” jest aktywny (podświetlony). Teraz wejdź w przeglądarce na dowolną stronę.
Zapytanie HTTP zostanie zatrzymane w Burp Suite. Zobaczysz surowe dane zapytania: metodę (GET/POST), adres URL, nagłówki HTTP, ciasteczka, a w przypadku formularzy – przesyłane dane (login, hasło, treść wiadomości).
Masz trzy opcje:
- Forward– wysyła zapytanie dalej do serwera bez zmian.
- Drop– odrzuca zapytanie (serwer go nigdy nie dostanie).
- Edycja + Forward– zmieniasz cokolwiek w zapytaniu (np. wartość parametru, nagłówek, ciasteczko) i dopiero wtedy wysyłasz. To właśnie ta funkcja jest kluczowa do testowania bezpieczeństwa.
Jeśli Intercept Cię spowalnia (bo zatrzymuje każde zapytanie), możesz go wyłączyć i zamiast tego korzystać z zakładki HTTP History – tam zobaczysz pełną historię wszystkich zapytań i odpowiedzi, bez konieczności ręcznego przepuszczania każdego z nich.
Narzędzia Burp Suite, które musisz znać
Target – mapa Twojego celu
Zakładka Target buduje mapę struktury testowanej aplikacji. Każdy URL, który przeglądarka odwiedziła, pojawia się tu w formie drzewa katalogów. To Twoja baza danych o testowanej stronie – widzisz, jakie ścieżki istnieją, jakie parametry przyjmują i jakie odpowiedzi zwraca serwer.
Warto ustawić „scope” (zakres) – czyli wskazać, która domena Cię interesuje. Burp będzie wtedy filtrował ruch i pokazywał tylko to, co dotyczy Twojego celu.
Repeater – Twoje laboratorium
Repeater to narzędzie, w którym spędzisz prawdopodobnie najwięcej czasu. Działa prosto: bierzesz dowolne zapytanie HTTP (np. klikając prawym przyciskiem na zapytaniu w Proxy i wybierając „Send to Repeater”), modyfikujesz je i wysyłasz. Po lewej stronie widzisz zapytanie, po prawej – odpowiedź serwera.
Przykład: przechwytałeś zapytanie logowania z parametrem username=admin&password=test. W Repeaterze możesz zmienić wartość password na ’ OR 1=1 — i sprawdzić, czy aplikacja jest podatna na SQL Injection. Jeśli serwer odpowie inaczej niż przy normalnym logowaniu – masz trop.
To właśnie w Repeaterze testujesz hipotezy. Modyfikujesz jeden parametr, obserwujesz reakcję, wyciągasz wnioski, modyfikujesz ponownie. Klasyczna praca pentestera.
Intruder – automatyzacja ataków
Intruder to narzędzie do automatycznego wysyłania wielu zmodyfikowanych zapytań. Zaznaczasz w zapytaniu, który parametr chcesz atakować, podajesz listę wartości do przetestowania, a Intruder wysyła zapytanie dla każdej wartości z listy.
Typowe zastosowania: atak brute force na formularz logowania (lista haseł), enumeracja użytkowników (lista nazw), fuzzing parametrów (lista znaków specjalnych). Jeśli czytałeś artykuł o tym, jak hakerzy włamują się na serwisy internetowe – Intruder to jedno z narzędzi, które do tego służy.
W wersji Community Intruder działa, ale jest celowo spowolniony. W wersji Professional nie ma tego ograniczenia.
Jakie podatności można znaleźć za pomocą Burp Suite?
|
Podatność |
Na czym polega |
Jak Burp pomaga |
|
SQL Injection (SQLi) |
Wstrzyknięcie kodu SQL do zapytania bazodanowego |
Repeater do ręcznego testowania parametrów, Intruder do fuzzingu |
|
Cross-Site Scripting (XSS) |
Wstrzyknięcie skryptu JS wykonywanego w przeglądarce ofiary |
Repeater do wstrzykiwania payloadów, obserwacja odpowiedzi serwera |
|
IDOR |
Dostęp do cudzych danych przez zmianę ID w parametrze |
Repeater – zmieniasz ID i sprawdzasz, czy dostajesz cudze dane |
|
Broken Authentication |
Błędy w logowaniu i zarządzaniu sesjami |
Proxy do analizy tokenów sesji, Intruder do brute force |
|
Security Misconfiguration |
Błędy konfiguracji serwera, ujawnione nagłówki, domyślne hasła |
Proxy i Target do analizy nagłówków i odpowiedzi serwera |
Burp Suite nie znajdzie za Ciebie wszystkich podatności automatycznie (przynajmniej nie w wersji Community). To narzędzie, które daje Ci widoczność – widzisz, co aplikacja robi pod spodem. Podatności musisz wykryć sam, na podstawie wiedzy o tym, jak działają poszczególne ataki.
Gdzie ćwiczyć? Legalne cele do testów
Nigdy NIE testuj Burp Suite na cudzych stronach bez pisemnej zgody. To przestępstwo. Na szczęście istnieją legalne środowiska stworzone specjalnie do nauki:
- PortSwigger Web Security Academy– darmowa platforma od twórców Burp Suite. Setki ćwiczeń (labs) na prawdziwych podatnościach, podzielonych według trudności i kategorii. To najlepszy punkt startowy, bo labs są zintegrowane z Burp Suite.
- DVWA (Damn Vulnerable Web Application)– celowo podatna aplikacja webowa do zainstalowania lokalnie. Masz pełną kontrolę nad środowiskiem.
- TryHackMe i HackTheBox– platformy z maszynami CTF, z których część dotyczy aplikacji webowych i wymaga użycia Burp Suite.
- Maszyny VulnHub– darmowe maszyny wirtualne z celowo osłabionymi zabezpieczeniami. Maszyna „Mr. Robot” to klasyk, który dobrze pokazuje, jak brute force na WordPressa wygląda w praktyce.
Kto powinien znać Burp Suite?
Jeśli rozważasz rozwój w zakresie cyberbezpieczeństwa, Burp Suite to jedno z pierwszych narzędzi, które powinieneś opanować. Używają go pentesterzy, analitycy bezpieczeństwa aplikacji, bug bounty hunterzy i deweloperzy, którzy chcą sprawdzić bezpieczeństwo własnego kodu.
Nie musisz być programistą, żeby zacząć. Musisz natomiast rozumieć podstawy HTTP (metody GET/POST, nagłówki, kody odpowiedzi, ciasteczka). Jeśli masz doświadczenie w IT – nawet jako admin, helpdesk czy QA – masz bazę, na której możesz budować.
współpraca
Szukasz stałej, kompleksowej obsługi bezpieczeństwa IT Twojej firmy?
Współpracuj ze mną w modelu CISO as a Service
Zostanę zewnętrznym szefem cyberbezpieczeństwa Twojej firmy
CISO as a Service od Cyberguru to:
- działania dot. cyberbezpieczeństwa dostosowane do specyfiki Twojej branży i skali działalności
- strategiczne podejście do bezpieczeństwa IT obejmujące zarządzanie ryzykiem i wdrażanie polityk
- wsparcie operacyjne: od monitorowania bezpieczeństwa IT, przez reagowanie na incydenty, aż po audyty i testy penetracyjne
- stałe podnoszenie świadomości dot. cyberbezpieczeństwa u Twoich pracowników poprzez cykliczne szkolenia
- korzystanie z wiedzy specjalisty, który jest na bieżąco z najnowszymi trendami w branży cyberbezpieczeństwa
- zapewnienie zgodności z lokalnymi i międzynarodowymi przepisami dot. ochrony danych i bezpieczeństwa informacji
- regularne raportowanie o obecnej sytuacji bezpieczeństwa IT w Twojej firmie i zalecanych krokach
- redukcja kosztów związanych z zatrudnieniem pełnoetatowego CISO, szczególnie dla mniejszych firm
O autorze
Od ponad 15 lat pracuję w branży IT, a od 2018 roku zawodowo zajmuję się cyberbezpieczeństwem, analizą incydentów i testami penetracyjnymi.
Na co dzień mam do czynienia z prawdziwymi danymi, realnymi zagrożeniami i sytuacjami, w których błędne założenie kosztuje czas, pieniądze albo bezpieczeństwo. To doświadczenie bardzo mocno ukształtowało mój sposób myślenia – i dokładnie ten sposób myślenia chcę Ci przekazać w Cyberdetektywie.
Ten kurs powstał dlatego, że przez lata widziałem, jak wiele problemów bierze się z braku umiejętności weryfikowania informacji, łączenia faktów i odróżniania danych od domysłów. W pracy z incydentami i bezpieczeństwem bardzo szybko wychodzi na jaw, kto potrafi analizować sytuację, a kto tylko zgaduje – i ta różnica jest kluczowa również poza światem IT w zupełnie prywatnych warunkach.
Cyberdetektyw nie jest kursem teoretycznym ani zbiorem efektownych trików. To próba przeniesienia podejścia znanego z cyberbezpieczeństwa i pentestów do świata OSINT-u. Pokażę Ci nie tylko narzędzia i techniki, ale przede wszystkim tok myślenia, który wykorzystuję w swojej pracy.
