Burp Suite je swiss-army knife pro web security testing. Proxy, scanner, repeater, intruder — nástroje pro každou fázi testování.
Klíčové nástroje¶
- Proxy: Zachytávání a modifikace HTTP requestů
- Scanner: Automatická detekce zranitelností
- Repeater: Ruční testování — opakování a modifikace requestů
- Intruder: Automatizované útoky (brute force, fuzzing)
- Decoder: Encoding/decoding (base64, URL, HTML)
Workflow¶
- Nastavte browser proxy (127.0.0.1:8080)
- Procházejte aplikaci — Burp mapuje endpoints
- Scanner najde automatické nálezy
- Repeater pro manuální testování
- Intruder pro parametr fuzzing
Příklad — testování IDOR¶
1. Zachyťte request v Proxy¶
GET /api/users/123/profile HTTP/2 Authorization: Bearer eyJ…
2. Pošlete do Repeater¶
3. Změňte ID: /api/users/456/profile¶
4. Pokud dostanete 200 → IDOR zranitelnost!¶
Klíčový takeaway¶
Burp Suite Community Edition je zdarma. Proxy + Repeater jsou vaše hlavní nástroje. Pro automatizaci Scanner (Pro verze).
securityburp suitewebtesting