Очень понравилось, что все "странные" слова были разобраны под спойлерами, мало кто так делает.

Sykes сказал(а):

Очень понравилось, что все "странные" слова были разобраны под спойлерами, мало кто так делает.


Благодарю) Теперь будет моей фишкой

Планируется ли более подробный разбор фишек именно Pro версии и хотя бы части Pro аддонов из стора?

Sykes сказал(а):

Планируется ли более подробный разбор фишек именно Pro версии и хотя бы части Pro аддонов из стора?


Да, конечно! О Burp Pro можно писать бесконечно) В 4 части думаю рассказать о типах сканирования и как их настроить под ситуацию.

Здравствуйте, будет ли статья по фаззингу хедеров, обхода фильтраций от XSS?

Obelisk сказал(а):

авно хотел начать писать сюда, но всё откладывал


На форуме не приветствуются материалы, скопированные из других источников.

GuruGRIEF сказал(а):

Здравствуйте, будет ли статья по фаззингу хедеров, обхода фильтраций от XSS?


Да, эту тему я постараюсь раскрывать в ветке Burp или же начну новый цикл про фаззинг.



античат сказал(а):

На форуме не приветствуются материалы, скопированные из других источников.


Прекрасно это знаю, но заверяю, что эта статья за моим авторством и её первая версия была написан в моей группе в VK ещё в 18 году. Все ссылки могу отправить в ЛС, чтобы не устраивать рекламную компанию тут. К тому же статья была изменена и не носит характер ctrl +c/v, ведь это моветон

Крайне доходчиво написано, особенно для новичка типо меня

Emisare сказал(а):

Крайне доходчиво написано, особенно для новичка типо меня


Благодарю, буду держать и поднимать планку)

Давно хотел обучиться брупу, буду ждать ещё статей !

iwandyz сказал(а):

Давно хотел обучиться брупу, буду ждать ещё статей !

И они будут)

Таких статей про установку/запуск писано-переписано. Сделайте лучше статью про взлом сайта с помощью бурпа. Только не bwapp, mutillidae и прочих, про них тоже писано-переписано, а реального. Можно взять сайт из какого нибудь ctf или тестовую лабу.
Желательно пройтись по всем основным возможностям бурпа и расписать всё подробно: запустил бурп, натравил паука, пофазил директории, сунул кавычку в инпут, побрутил админку и тд. .... получил профит (рце, шелл, пасс админа).

GraySW сказал(а):

Таких статей про установку/запуск писано-переписано. Сделайте лучше статью про взлом сайта с помощью бурпа. Только не bwapp, mutillidae и прочих, про них тоже писано-переписано, а реального. Можно взять сайт из какого нибудь ctf или тестовую лабу.
Желательно пройтись по всем основным возможностям бурпа и расписать всё подробно: запустил бурп, натравил паука, пофазил директории, сунул кавычку в инпут, побрутил админку и тд. .... получил профит (рце, шелл, пасс админа).


Разумеется это всё будет, но не сразу. Я иду от уровня новичка до профи и если бы я начал с обусфакции пейлоада и обхода 100500 WAF сразу, то ценность статьи была снижена из-за порога вхождения. У нас даже лаба своя есть, вот только она пока не подразумевает шибко уж базовых вулнов. Да и Паука уже давно нет в Burp, теперь это отдельная фишка Crawl из Pro версии. Лучше уже идти от начала и до конца, чем сразу макнуть новичков в пучину веб-тестинга.

Хорошее начало, жду продолжения

Obelisk сказал(а):

Разумеется это всё будет, но не сразу. Я иду от уровня новичка до профи и если бы я начал с обусфакции пейлоада и обхода 100500 WAF сразу, то ценность статьи была снижена из-за порога вхождения. У нас даже лаба своя есть, вот только она пока не подразумевает шибко уж базовых вулнов. Да и Паука уже давно нет в Burp, теперь это отдельная фишка Crawl из Pro версии. Лучше уже идти от начала и до конца, чем сразу макнуть новичков в пучину веб-тестинга.


Значит будем ждать. А то обычно напишут 3-4 статьи вроде: установка, настройка, репитер, интрудер и всё. Это как писать об автомобиле: вот кузов, вот двигатель, вот колёса. А как грамотно управлять этим? Как доехать до финиша через дождь, снег и гололёд? Вот такой годноты очень мало. В общем, пишите, ждём продолжения!

artdev сказал(а):

Хорошее начало, жду продолжения


Буквально на днях, только ждите)

Ждем продолжение

NostroGuardian сказал(а):

Ждем продолжение

Всё в будет а лучшем виде)

ждем, ждем.

Спасибо. Разве в Burp не надо галочку поставить: Proxy -> Options -> Proxy Listeners?

https://forum.antichat.xyz/attachments/4862392/img_80c7e235c2.png

NostroGuardian (https://forum.antichat.xyz/members/635754/), да, может и стоит по умолчанию, не помню уже...

rasul сказал(а):

Спасибо. Разве в Burp не надо галочку поставить: Proxy -> Options -> Proxy Listeners?

Вроде как стоит по умолчанию

Вторая статья уже вышла?

LTD сказал(а):

Вторая статья уже вышла?


Буквально завтра-послезавтра)

Очень здравый разбор. Порадовала подача в виде спойлеров. Нового не увидел, но закрепил знания. Однозначно плюс

Obelisk сказал(а):

Буквально завтра-послезавтра)


Обещанного 3 года ждут?)

Что-то я смотрю автор слился?! Жалко. Так много наобещал....

Обещать не значит жениться)))
А так софт на очень ёмкая если все писать, что можно сделать с помощью ее книгу можно выпустить)))

Что такое Burp Suite и для чего он нужен
Burp Suite — это профессиональная платформа для тестирования безопасности веб-приложений, которую используют более 70% специалистов по информационной безопасности по всему миру. Если представить весь процесс поиска уязвимостей как военную операцию, то Burp Suite — это целый командный центр с радарами, средствами разведки и точным оружием.

Простыми словами, Burp Suite позволяет:

Перехватывать и изменять любые запросы между браузером и сервером

Автоматически находить уязвимости в веб-приложениях (SQL-инъекции, XSS, CSRF)

Тестировать защищенность API и мобильных приложений

Анализировать логику работы приложений для поиска бизнес-логических уязвимостей
Кому и зачем нужен Burp Suite
Инструмент активно используют:

Пентестеры и этичные хакеры — для проведения аудитов безопасности

Bug bounty хантеры — для поиска уязвимостей за вознаграждение (средний баунти $500-5000)

Разработчики — для тестирования своих приложений на безопасность

DevSecOps инженеры — для интеграции в CI/CD pipeline

Студенты ИБ — для обучения и практики на платформах вроде HackTheBox
Почему именно Burp Suite
В отличие от автоматических сканеров вроде Acunetix или Nessus, Burp Suite дает полный контроль над процессом тестирования. Вы видите каждый запрос, можете его модифицировать, повторять с разными параметрами и глубоко анализировать ответы сервера.

Реальный пример: При тестировании интернет-банка автоматический сканер может пропустить уязвимость в бизнес-логике перевода средств. С Burp Suite вы перехватите запрос на перевод 100 рублей, измените сумму на -100, и если разработчики не предусмотрели проверку отрицательных значений — найдете критическую уязвимость.
Основные инструменты и возможности Burp Suite
Набор инструментов платформы
1. Proxy (Прокси-сервер)
Ядро Burp Suite. Перехватывает весь HTTP/HTTPS трафик между браузером и сервером. Позволяет:

Просматривать все запросы и ответы в реальном времени

Изменять данные "на лету" перед отправкой

Блокировать нежелательные запросы

Настраивать правила автоматической модификации
2. Scanner (Сканер уязвимостей) [только в Pro версии]
Автоматически проверяет приложение на 100+ типов уязвимостей:

SQL инъекции всех типов

XSS (reflected, stored, DOM-based)

XXE, SSRF, Path Traversal

Insecure Deserialization

И десятки других OWASP Top 10 уязвимостей
3. Intruder (Инструмент для автоматизированных атак)
Мощнейший инструмент для:

Брутфорса паролей и токенов

Фаззинга параметров

Перебора ID объектов (IDOR атаки)

Автоматизации любых повторяющихся запросов
4. Repeater (Повторитель запросов)
Позволяет:

Отправлять модифицированные запросы вручную

Сравнивать ответы сервера

Тестировать различные payload'ы

Отлаживать эксплойты
5. Sequencer (Анализатор случайности)
Проверяет криптографическую стойкость:

Сессионных токенов

CSRF токенов

Любых псевдослучайных значений
6. Decoder/Comparer
Вспомогательные утилиты для:

Кодирования/декодирования (Base64, URL, HTML, etc.)

Хеширования данных

Сравнения ответов побайтово
Сравнение версий: Community vs Professional vs Enterprise

ФункцияCommunity (Free)Professional ($499/год)Enterprise (от $5999/год)Proxy и базовые инструменты Полностью Полностью ПолностьюАвтоматический сканер 100+ проверок 100+ проверокСкорость Intruder Ограничена Без ограничений Без ограниченийСохранение проектов Временные Постоянные Постоянные + облакоREST APICI/CD интеграция Базовая ПолнаяКомандная работа Multi-userТехподдержкаФорумEmailPremium 24/7

https://forum.antichat.xyz/attachments/4861818/1574840922015.png

Совет: Для обучения и простых тестов достаточно Community версии. Для профессиональной работы и bug bounty окупаемость Pro версии — 1-2 успешных находки.
Системные требования и установка
Минимальные требования

ОС: Windows 10+, macOS 10.14+, Linux (любой современный дистрибутив)

RAM: 4 GB (рекомендуется 8 GB)

Процессор: 2+ ядра

Java: версия 17+ (встроена в инсталлятор)

Место на диске: 500 MB
Процесс установки

Скачайте инсталлятор с официального сайта portswigger.net/burp/communitydownload

Запустите установщик (права администратора не требуются)

Следуйте инструкциям мастера установки

При первом запуске выберите тип проекта:
Temporary project — для быстрых тестов

New project on disk — для долгосрочной работы

Пошаговая настройка Burp Suite для начинающих
Шаг 1: Настройка браузера для работы с прокси
Burp Suite работает как прокси-сервер между вашим браузером и интернетом. Настроим Firefox:
Настройка Firefox:

Откройте Настройки → Основные

Прокрутите вниз до Параметры сети → Настроить

Выберите Ручная настройка прокси

В поле HTTP прокси введите:

127.0.0.1


Порт:

8080


Установите галочку Использовать этот прокси для всех протоколов

В исключения добавьте:

localhost, 127.0.0.1


https://forum.antichat.xyz/attachments/4861818/1574831074849.png

Важно: После включения прокси обычные сайты перестанут загружаться, пока Burp не запущен!

Лайфхак: Установите расширение FoxyProxy для быстрого переключения прокси одним кликом.
Шаг 2: Первый запуск и настройка проекта

Запустите Burp Suite

https://forum.antichat.xyz/attachments/4861818/1574831267734.png


Выберите Temporary project для начала

https://forum.antichat.xyz/attachments/4861818/1574832498904.png


Нажмите Use Burp defaults → Start Burp

https://forum.antichat.xyz/attachments/4861818/1574832556931.png

https://forum.antichat.xyz/attachments/4861818/1574833451296.png

Шаг 3: Проверка перехвата трафика

В Burp откройте вкладку Proxy → Intercept

Убедитесь, что кнопка Intercept is on активна

В браузере перейдите на любой HTTP сайт (например, Example Domain)

В Burp появится перехваченный запрос

https://forum.antichat.xyz/attachments/4861818/1574833926524.png

Управление перехватом:

Forward — отправить запрос дальше

Drop — удалить запрос

Intercept is on/off — включить/выключить перехват
Шаг 4: Модификация запросов на практике
Попробуем изменить User-Agent:

Перехватите любой запрос

Найдите строку

User-Agent: Mozilla/5.0...


Измените на

User-Agent: BurpSuite-Testing


Нажмите Forward

Сервер получит модифицированный запрос

https://forum.antichat.xyz/attachments/4861818/1574834302848.png

Настройка работы с HTTPS сайтами
По умолчанию браузер не доверяет Burp Suite при работе с HTTPS. Исправим это:

https://forum.antichat.xyz/attachments/4861818/1574834891998.png

Установка сертификата Burp

В Burp запущенном, откройте браузер

Перейдите на http://burp

https://forum.antichat.xyz/attachments/4861818/1574839506758.png


Нажмите CA Certificate и скачайте файл

Для Firefox:
Настройки → Приватность и защита

Прокрутите до "Сертификаты" → Просмотр сертификатов

Вкладка "Центры сертификации" → Импорт

Выберите скачанный файл

Отметьте "Доверять при идентификации веб-сайтов"


https://forum.antichat.xyz/attachments/4861818/1574835657813.png


Для Chrome:
Настройки → Безопасность → Управление сертификатами

Импортировать в "Доверенные корневые центры"

Проверка HTTPS

Перейдите на Google через прокси

Если всё настроено правильно — не будет предупреждений о безопасности

В Burp вы увидите расшифрованный HTTPS трафик
Оптимизация интерфейса для комфортной работы
Настройка размера шрифта
Стандартный шрифт слишком мелкий для длительной работы:

User Options → Display

Font Size: установите 16-18 для интерфейса

HTTP Message Font Size: установите 18-20 для запросов

Перезапустите Burp для применения


Полезные горячие клавиши


Ctrl+R

— отправить в Repeater


Ctrl+I

— отправить в Intruder


Ctrl+Shift+R

— повторить запрос


Ctrl+F

— поиск в запросе/ответе


Ctrl+Space

— автодополнение
Установка расширений из BApp Store
Burp Suite поддерживает расширения, значительно увеличивающие функциональность:
Топ-5 необходимых расширений

XSS Validator — продвинутый поиск XSS уязвимостей

Autorize — тестирование авторизации

JSON Beautifier — форматирование JSON

SAML Raider — работа с SAML

Upload Scanner — проверка загрузки файлов
Установка расширения

Откройте Extender → BApp Store

https://forum.antichat.xyz/attachments/4861818/1574838707010.png


Найдите нужное расширение

https://forum.antichat.xyz/attachments/4861818/1574839054050.png


Нажмите Install

Расширение появится в отдельной вкладке

https://forum.antichat.xyz/attachments/4861818/1574839123897.png

Частые ошибки начинающих и их решение
Ошибка 1: "Сайты не загружаются после настройки прокси"
Причина: Burp не запущен или прокси выключен
Решение: Запустите Burp или отключите прокси в браузере
Ошибка 2: "HTTPS сайты показывают ошибку безопасности"
Причина: Не установлен сертификат Burp
Решение: Установите CA сертификат согласно инструкции выше
Ошибка 3: "Burp не видит трафик мобильного приложения"
Причина: Приложение использует Certificate Pinning
Решение: Требуется дополнительная настройка или патчинг приложения
Ошибка 4: "Intruder работает очень медленно"
Причина: Ограничение Community версии
Решение: Используйте Turbo Intruder (бесплатное расширение) или купите Pro версию
Ошибка 5: "Потерялся проект после закрытия"
Причина: Использовался Temporary project
Решение: Используйте New project on disk для сохранения
FAQ: Ответы на частые вопросы
Законно ли использовать Burp Suite?
Да, если вы тестируете:

Свои приложения

Приложения с письменного разрешения владельца

Публичные bug bounty программы

Учебные полигоны (DVWA, WebGoat, etc.)
Чем Burp Suite отличается от OWASP ZAP?

КритерийBurp SuiteOWASP ZAPЦенаОт $0БесплатноУдобствоФункцио налШире в ProХорошийСообществоОгромн� �еБольшоеОбучениеМного курсовМеньше

Нужны ли знания программирования?
Базовое понимание HTTP, HTML и JavaScript очень поможет. Программировать необязательно, но для написания расширений потребуется Python или Java.
Сколько времени нужно на изучение?

Базовый уровень: 1-2 недели

Уверенное использование: 2-3 месяца

Профессиональный уровень: 6-12 месяцев
Где практиковаться безопасно?

PortSwigger Academy — официальные лабы от создателей

HackerLab (https://hackerlab.pro/) — реальные машины

TryHackMe — пошаговое обучение

DVWA — локальное уязвимое приложение

WebGoat — OWASP проект для обучения
Какую версию выбрать для начала?
Community версия идеальна для обучения. Ограничения:

Медленный Intruder (решается расширениями)

Нет автосканера (учитесь искать вручную)

Нет сохранения проектов (не критично для обучения)
Можно ли использовать Burp для тестирования мобильных приложений?
Да, но требуется дополнительная настройка:

Настройте прокси на мобильном устройстве

Установите сертификат Burp на телефон

Для Android 7+ может потребоваться root
Как ускорить работу Intruder в бесплатной версии?
Установите расширение Turbo Intruder — работает в 100 раз быстрее стандартного Intruder и не имеет ограничений.
Что дальше: план развития навыков
Неделя 1-2: Основы

Научитесь перехватывать и модифицировать запросы

Изучите Repeater для ручного тестирования

Пройдите базовые лабы на PortSwigger Academy
Неделя 3-4: Поиск уязвимостей

Изучите Intruder для автоматизации

Научитесь искать SQL инъекции

Практикуйтесь на DVWA
Месяц 2: Продвинутые техники

Освойте поиск XSS, XXE, SSRF

Изучите Collaborator для out-of-band атак

Начните участвовать в CTF
Месяц 3+: Профессиональный уровень

Напишите свои расширения

Участвуйте в bug bounty программах

Получите сертификацию Burp Suite Certified Practitioner
Полезные ресурсы для изучения

PortSwigger Academy — официальные бесплатные курсы

Burp Suite Documentation — подробная документация

YouTube: Rana Khalil — отличные видео по Burp Suite

Book: The Web Application Hacker's Handbook — библия веб-безопасности
Burp Suite — это must-have инструмент для любого, кто серьезно относится к безопасности веб-приложений. Да, порог входа выше, чем у автоматических сканеров, но возможности несравнимо шире.

Начните с Community версии, пройдите бесплатные лабораторные на PortSwigger Academy, и уже через месяц вы будете находить уязвимости, которые пропускают автоматические сканеры.

Следующий шаг: После настройки Burp Suite переходите к изучению конкретных типов уязвимостей. В следующей части мы детально разберем поиск SQL инъекций с помощью Burp Suite на реальных примерах.

Остались вопросы? Пишите в комментариях — разберем любые сложности с настройкой и использованием Burp Suite.