Czym jest Burp Suite?
Burp Suite to zestaw narzędzi do testowania bezpieczeństwa aplikacji webowych, stworzony przez firmę PortSwigger. Działa jako proxy – pośrednik między Twoją przeglądarką a serwerem. Kiedy wchodzisz na stronę internetową, Twoja przeglądarka wysyła zapytanie HTTP do serwera, a serwer odpowiada. Normalnie tego nie widzisz. Burp Suite wchodzi w środek tej komunikacji i pozwala Ci zobaczyć każde zapytanie i każdą odpowiedź.
Ale nie chodzi tylko o podglądanie. Burp pozwala też zatrzymać zapytanie w locie, zmodyfikować je i dopiero wtedy wysłać dalej. To właśnie ta możliwość – ingerencja w komunikację między przeglądarką a serwerem – sprawia, że narzędzie jest tak przydatne do szukania podatności.
Należy również pamiętać, iż nie ma czegoś takiego jak anonimowość, tak samo jak 100% bezpieczeństwo. Możemy minimalizować ryzyka, ale zawsze gdzieś jest jakiś punkt styku, dlatego raczej rozmawiajmy o prywatności, która ma trochę inne oblicze. Jest ona bardziej zapewnieniem wysokiego standardu w zarządzaniu swoją tożsamością, który powala na jak największym ograniczeniu jej zdradzania. Ludzie niestety myślą, że bezpieczeństwo czy anonimowość można osiągnąć w procesie jakiegoś postępowania krok po kroku. Wystarczy działać zgodnie z instrukcją i już jest. To mit.
CYBERGURU NA ŻYWO
Kalendarz darmowych szkoleń
Zapomnij o domysłach z forów internetowych czy niesprawdzonych tutorialach.
Wejdź do świata OSINT-u, poznaj mechanizmy Darknetu i zobacz, jak zniknąć z radarów i chronić swoją tożsamość.
Spotykamy się na żywo, rozwiązujemy realne case’y i rozkładamy zagrożenia na czynniki pierwsze.
Sprawdź nasz harmonogram i dołącz do sesji, która Cię interesuje – czas na Twój ruch w cieniu.
Community vs Professional – którą wersję wybrać?
Burp Suite istnieje w trzech wariantach. Na start interesują Cię dwa:
|
Cecha |
Community Edition (darmowa) |
Professional ($449/rok) |
|
Proxy (przechwytywanie ruchu) |
Tak |
Tak |
|
Repeater (ręczne wysyłanie zapytań) |
Tak |
Tak |
|
Intruder (automatyczne ataki) |
Ograniczony (wolny) |
Pełna prędkość |
|
Automatyczny skaner podatności |
Nie |
Tak |
|
Zapisywanie projektów |
Nie |
Tak |
|
Rozszerzenia (BApp Store) |
Ograniczone |
Pełny dostęp |
Na początek Community Edition w zupełności wystarczy. Proxy, Repeater i podstawowy Intruder to i tak narzędzia, z którymi spędzisz 80% czasu. Wersję Professional warto rozważyć, kiedy zaczniesz robić testy penetracyjne zawodowo.
Instalacja Burp Suite – trzy minuty i gotowe
Pobierz instalator ze strony portswigger.net/burp/communitydownload. Burp Suite działa na Windowsie, macOS i Linuxie. Wymaga Javy, ale instalator zawiera ją w pakiecie – nie musisz nic doinstalowywać osobno.
Po uruchomieniu Burp Suite pyta o projekt i konfigurację. Na start kliknij „Next”, potem „Start Burp” – domyślne ustawienia są w porządku. Za kilka sekund zobaczysz główne okno programu.
Konfiguracja proxy – jak skierować ruch przez Burp?
Burp Suite domyślnie nasłuchuje na adresie 127.0.0.1 (localhost) i porcie 8080. Żeby przechwytywać ruch z przeglądarki, musisz powiedzieć przeglądarce, żeby kierowała zapytania przez ten adres.
Najłatwiejszy sposób: wbudowana przeglądarka Burp. Od kilku wersji Burp Suite zawiera wbudowaną przeglądarkę (opartą na Chromium), która jest automatycznie skonfigurowana do pracy z proxy. Znajdziesz ją w zakładce Proxy → kliknij „Open browser”. Zero konfiguracji, od razu działa.
Sposób z Twoją przeglądarką. Jeśli wolisz używać własnego Firefoksa lub Chrome’a, musisz ręcznie ustawić proxy:
- W Firefoxie: Ustawienia → Ogólne → na dole „Ustawienia sieciowe” → „Ręczna konfiguracja serwera proxy”. Wpisujesz 127.0.0.1 jako adres i 8080 jako port. Zaznaczasz „Użyj tego serwera proxy dla wszystkich protokołów”.
- W Chrome warto zainstalować rozszerzenie Proxy SwitchyOmega– pozwala przełączać proxy jednym kliknięciem, bez grzebania w ustawieniach za każdym razem.
Ważna rzecz: po zakończeniu testów pamiętaj o wyłączeniu proxy. Jeśli tego nie zrobisz, a Burp będzie wyłączony, przeglądarka nie będzie w stanie połączyć się z żadną stroną.
POZNAJ CYBERAKADEMIĘ
Skoro już tu jesteś - rozwiń swoje cyberumiejętności!
Kali Linux od Podstaw
Poznaj system operacyjny używany przez pentesterów na całym świecie. Kurs prowadzi Cię krok po kroku – od instalacji, przez podstawowe komendy, po pierwsze testy bezpieczeństwa. Praktyczna wiedza, która otwiera drzwi do kariery w cybersec.
Ten kurs to praktyka pracy z terminalem: od pierwszych kroków po analizę bezpieczeństwa i automatyzację. Poznasz logikę działania Linuxa i dowiesz się, jak budować własne polecenia. Koniec z bezmyślnym kopiowaniem komend – tu zaczyna się Twoja niezależność.
Przechwytywanie ruchu – zakładka Intercept
Wejdź w zakładkę Proxy → Intercept. Upewnij się, że przycisk „Intercept is on” jest aktywny (podświetlony). Teraz wejdź w przeglądarce na dowolną stronę.
Zapytanie HTTP zostanie zatrzymane w Burp Suite. Zobaczysz surowe dane zapytania: metodę (GET/POST), adres URL, nagłówki HTTP, ciasteczka, a w przypadku formularzy – przesyłane dane (login, hasło, treść wiadomości).
Masz trzy opcje:
- Forward– wysyła zapytanie dalej do serwera bez zmian.
- Drop– odrzuca zapytanie (serwer go nigdy nie dostanie).
- Edycja + Forward– zmieniasz cokolwiek w zapytaniu (np. wartość parametru, nagłówek, ciasteczko) i dopiero wtedy wysyłasz. To właśnie ta funkcja jest kluczowa do testowania bezpieczeństwa.
Jeśli Intercept Cię spowalnia (bo zatrzymuje każde zapytanie), możesz go wyłączyć i zamiast tego korzystać z zakładki HTTP History – tam zobaczysz pełną historię wszystkich zapytań i odpowiedzi, bez konieczności ręcznego przepuszczania każdego z nich.
Narzędzia Burp Suite, które musisz znać
Target – mapa Twojego celu
Zakładka Target buduje mapę struktury testowanej aplikacji. Każdy URL, który przeglądarka odwiedziła, pojawia się tu w formie drzewa katalogów. To Twoja baza danych o testowanej stronie – widzisz, jakie ścieżki istnieją, jakie parametry przyjmują i jakie odpowiedzi zwraca serwer.
Warto ustawić „scope” (zakres) – czyli wskazać, która domena Cię interesuje. Burp będzie wtedy filtrował ruch i pokazywał tylko to, co dotyczy Twojego celu.
Repeater – Twoje laboratorium
Repeater to narzędzie, w którym spędzisz prawdopodobnie najwięcej czasu. Działa prosto: bierzesz dowolne zapytanie HTTP (np. klikając prawym przyciskiem na zapytaniu w Proxy i wybierając „Send to Repeater”), modyfikujesz je i wysyłasz. Po lewej stronie widzisz zapytanie, po prawej – odpowiedź serwera.
Przykład: przechwytałeś zapytanie logowania z parametrem username=admin&password=test. W Repeaterze możesz zmienić wartość password na ’ OR 1=1 — i sprawdzić, czy aplikacja jest podatna na SQL Injection. Jeśli serwer odpowie inaczej niż przy normalnym logowaniu – masz trop.
To właśnie w Repeaterze testujesz hipotezy. Modyfikujesz jeden parametr, obserwujesz reakcję, wyciągasz wnioski, modyfikujesz ponownie. Klasyczna praca pentestera.
Intruder – automatyzacja ataków
Intruder to narzędzie do automatycznego wysyłania wielu zmodyfikowanych zapytań. Zaznaczasz w zapytaniu, który parametr chcesz atakować, podajesz listę wartości do przetestowania, a Intruder wysyła zapytanie dla każdej wartości z listy.
Typowe zastosowania: atak brute force na formularz logowania (lista haseł), enumeracja użytkowników (lista nazw), fuzzing parametrów (lista znaków specjalnych). Jeśli czytałeś artykuł o tym, jak hakerzy włamują się na serwisy internetowe – Intruder to jedno z narzędzi, które do tego służy.
W wersji Community Intruder działa, ale jest celowo spowolniony. W wersji Professional nie ma tego ograniczenia.
Jakie podatności można znaleźć za pomocą Burp Suite?
|
Podatność |
Na czym polega |
Jak Burp pomaga |
|
SQL Injection (SQLi) |
Wstrzyknięcie kodu SQL do zapytania bazodanowego |
Repeater do ręcznego testowania parametrów, Intruder do fuzzingu |
|
Cross-Site Scripting (XSS) |
Wstrzyknięcie skryptu JS wykonywanego w przeglądarce ofiary |
Repeater do wstrzykiwania payloadów, obserwacja odpowiedzi serwera |
|
IDOR |
Dostęp do cudzych danych przez zmianę ID w parametrze |
Repeater – zmieniasz ID i sprawdzasz, czy dostajesz cudze dane |
|
Broken Authentication |
Błędy w logowaniu i zarządzaniu sesjami |
Proxy do analizy tokenów sesji, Intruder do brute force |
|
Security Misconfiguration |
Błędy konfiguracji serwera, ujawnione nagłówki, domyślne hasła |
Proxy i Target do analizy nagłówków i odpowiedzi serwera |
Burp Suite nie znajdzie za Ciebie wszystkich podatności automatycznie (przynajmniej nie w wersji Community). To narzędzie, które daje Ci widoczność – widzisz, co aplikacja robi pod spodem. Podatności musisz wykryć sam, na podstawie wiedzy o tym, jak działają poszczególne ataki.
Gdzie ćwiczyć? Legalne cele do testów
Nigdy NIE testuj Burp Suite na cudzych stronach bez pisemnej zgody. To przestępstwo. Na szczęście istnieją legalne środowiska stworzone specjalnie do nauki:
- PortSwigger Web Security Academy– darmowa platforma od twórców Burp Suite. Setki ćwiczeń (labs) na prawdziwych podatnościach, podzielonych według trudności i kategorii. To najlepszy punkt startowy, bo labs są zintegrowane z Burp Suite.
- DVWA (Damn Vulnerable Web Application)– celowo podatna aplikacja webowa do zainstalowania lokalnie. Masz pełną kontrolę nad środowiskiem.
- TryHackMe i HackTheBox– platformy z maszynami CTF, z których część dotyczy aplikacji webowych i wymaga użycia Burp Suite.
- Maszyny VulnHub– darmowe maszyny wirtualne z celowo osłabionymi zabezpieczeniami. Maszyna „Mr. Robot” to klasyk, który dobrze pokazuje, jak brute force na WordPressa wygląda w praktyce.
Kto powinien znać Burp Suite?
Jeśli rozważasz rozwój w zakresie cyberbezpieczeństwa, Burp Suite to jedno z pierwszych narzędzi, które powinieneś opanować. Używają go pentesterzy, analitycy bezpieczeństwa aplikacji, bug bounty hunterzy i deweloperzy, którzy chcą sprawdzić bezpieczeństwo własnego kodu.
Nie musisz być programistą, żeby zacząć. Musisz natomiast rozumieć podstawy HTTP (metody GET/POST, nagłówki, kody odpowiedzi, ciasteczka). Jeśli masz doświadczenie w IT – nawet jako admin, helpdesk czy QA – masz bazę, na której możesz budować.
O autorze
Od ponad 15 lat pracuję w branży IT, a od 2018 roku zawodowo zajmuję się cyberbezpieczeństwem, analizą incydentów i testami penetracyjnymi.
Na co dzień mam do czynienia z prawdziwymi danymi, realnymi zagrożeniami i sytuacjami, w których błędne założenie kosztuje czas, pieniądze albo bezpieczeństwo. To doświadczenie bardzo mocno ukształtowało mój sposób myślenia – i dokładnie ten sposób myślenia chcę Ci przekazać w Cyberdetektywie.
Ten kurs powstał dlatego, że przez lata widziałem, jak wiele problemów bierze się z braku umiejętności weryfikowania informacji, łączenia faktów i odróżniania danych od domysłów. W pracy z incydentami i bezpieczeństwem bardzo szybko wychodzi na jaw, kto potrafi analizować sytuację, a kto tylko zgaduje – i ta różnica jest kluczowa również poza światem IT w zupełnie prywatnych warunkach.
Cyberdetektyw nie jest kursem teoretycznym ani zbiorem efektownych trików. To próba przeniesienia podejścia znanego z cyberbezpieczeństwa i pentestów do świata OSINT-u. Pokażę Ci nie tylko narzędzia i techniki, ale przede wszystkim tok myślenia, który wykorzystuję w swojej pracy.
