Burp Suite — один из главных инструментов для тестирования безопасности веб-приложений. Его используют AppSec-специалисты, пентестеры, разработчики и QA-инженеры, когда нужно понять, как сайт или API обменивается данными с браузером, какие запросы уходят на сервер, какие ответы возвращаются, где могут быть ошибки логики, авторизации, валидации, сессий и обработки пользовательского ввода.

Важно: Burp Suite нужно использовать только на своих проектах, учебных лабораториях или системах, где у тебя есть разрешение на тестирование. Даже официальная документация PortSwigger предупреждает, что инструменты безопасности могут повлиять на работу целевых систем, поэтому тестировать чужие сайты без разрешения нельзя.

Что такое Burp Suite простыми словами

Burp Suite работает как посредник между браузером и сайтом. Обычно браузер напрямую отправляет запросы на сервер, а сервер напрямую возвращает ответы браузеру. Когда ты используешь Burp, схема становится такой:

Браузер → Burp Suite → сервер сайта → Burp Suite → браузер

Благодаря этому можно видеть HTTP/HTTPS-запросы, анализировать параметры, заголовки, cookies, токены, ответы сервера, редиректы, ошибки, API-вызовы и WebSocket-сообщения. Burp Proxy официально описывается как перехватывающий веб-прокси, который позволяет перехватывать, изучать и изменять трафик между браузером и целевым приложением.

Burp Suite бывает в разных редакциях. Для обучения обычно достаточно Community Edition. Для профессионального аудита чаще используют Professional, потому что там есть Burp Scanner, расширенные возможности автоматизации, Collaborator и другие функции. Burp Scanner доступен только в Burp Suite Professional и Burp Suite DAST.

Подготовка к установке Burp Suite

Перед установкой нужно понимать, на какой системе ты будешь работать. Burp Suite поддерживает актуальные версии Windows, Linux и macOS; для базовой установки требуется около 1 ГБ свободного места, а для проектного файла рекомендуется минимум 2 ГБ, хотя реальные проекты могут занимать больше из-за истории прокси, сканов и вкладок Repeater.

Для обучения лучше создать отдельную рабочую среду:

1. отдельный браузер или отдельный профиль браузера;
2. отдельная папка для проектов Burp;
3. тестовый сайт, локальный стенд или учебная лаборатория;
4. понимание, что ты не трогаешь чужие сайты без разрешения.

Лучше не ставить Burp CA-сертификат в основной повседневный браузер, которым ты пользуешься для банка, почты и личных аккаунтов. Для обучения удобнее использовать встроенный браузер Burp или отдельный Firefox/Chrome-профиль.

Установка Burp Suite

Установка стандартная:

1. скачиваешь актуальную версию Burp Suite Community или Professional;
2. запускаешь установщик;
3. открываешь Burp Suite;
4. при первом запуске выбираешь временный проект или создаёшь project file;
5. запускаешь Burp.

Официальная инструкция PortSwigger советует скачать последнюю версию Professional или Community Edition, запустить установщик и при первом запуске можно просто нажать Next, затем Start Burp, если ты пока не хочешь выбирать отдельный project file и конфигурацию.

Для новичка нормальный вариант — начать с Temporary project, чтобы просто изучить интерфейс. Но для реальной работы лучше создавать disk-based project, потому что тогда история запросов, вкладки Repeater, настройки scope и результаты анализа сохраняются.

Первый запуск и выбор проекта

При старте Burp обычно предлагает выбрать тип проекта.

Temporary project — временный проект. Подходит для обучения, быстрых проверок, разового анализа. После закрытия часть данных не сохраняется.

New project on disk — новый проект на диске. Это правильный вариант для нормального аудита. Burp будет сохранять историю, карту сайта, результаты, настройки и рабочие вкладки.

Open existing project — открыть ранее сохранённый проект.

Далее Burp может предложить выбрать конфигурацию. На старте можно оставить стандартную. Позже ты сможешь сохранять свои настройки в JSON-файлы и загружать их для разных проектов. В Burp есть раздел Settings, где настройки делятся на пользовательские и проектные: пользовательские применяются глобально, а проектные только к текущему project file.

Самая важная базовая настройка: браузер и Proxy

Вариант 1. Использовать встроенный Burp Browser

Это самый простой способ для новичка.

Открываешь:

Proxy → Intercept → Open Browser

Встроенный браузер уже настроен на работу через Burp. PortSwigger прямо указывает, что Burp’s browser преднастроен для работы с Burp Proxy из коробки.

Плюсы:

• не нужно вручную прописывать proxy;
• не нужно отдельно ставить CA-сертификат для старта;
• удобно для обучения;
• меньше риска испортить настройки основного браузера.

Минусы:

• если ты привык к своему браузеру, расширениям, профилям и devtools, может быть менее удобно;
• для некоторых сложных сценариев всё равно захочется подключить внешний браузер.

Вариант 2. Настроить внешний браузер

Внешний браузер нужно направить через Burp Proxy. По умолчанию Burp обычно слушает:

127.0.0.1:8080

То есть в настройках браузера или системного proxy нужно указать:

• HTTP proxy: 127.0.0.1
• Port: 8080
• HTTPS proxy: 127.0.0.1
• Port: 8080

После этого весь трафик браузера пойдёт через Burp.

Настройка CA-сертификата Burp для HTTPS

Без сертификата Burp сможет видеть обычный HTTP-трафик, но с HTTPS возникнут предупреждения браузера. Причина в том, что HTTPS защищает соединение между браузером и сервером. Чтобы Burp мог анализировать HTTPS-трафик, он создаёт свои TLS-сертификаты для посещаемых хостов, подписанные локальным CA-сертификатом Burp. Этот CA-сертификат нужно установить как доверенный в браузере, если ты используешь внешний браузер.

Общий порядок такой:

1. запусти Burp Suite;
2. открой браузер, который направлен через Burp;
3. перейди на http://burpsuite;
4. скачай CA Certificate;
5. установи его в хранилище доверенных корневых сертификатов браузера или системы;
6. перезапусти браузер;
7. проверь открытие HTTPS-сайта.

Для Chrome на Windows официальная инструкция предлагает при запущенном Burp открыть http://burpsuite, скачать CA Certificate, затем импортировать его через настройки сертификатов в Trusted Root Certification Authorities и перезапустить Chrome.

Для Firefox порядок похожий: открыть http://burpsuite, скачать CA Certificate, затем в настройках Firefox перейти в раздел сертификатов, импортировать сертификат во вкладку Authorities и включить доверие для идентификации сайтов.

Важный момент: сертификат Burp — чувствительная вещь. Если кто-то получит доступ к приватному ключу локального CA-сертификата, он потенциально сможет выполнять перехват TLS-соединений на твоём компьютере. Поэтому не ставь сертификат где попало, не передавай его другим людям и лучше используй отдельный учебный профиль браузера. PortSwigger тоже предупреждает, что root certificate требует осторожности.

Проверка, что Burp перехватывает трафик

Открой:

Proxy → Intercept

Включи:

Intercept is on

Теперь в браузере открой тестовый сайт. Запрос должен “зависнуть” в Burp. Это нормально: Burp удерживает его, чтобы ты мог посмотреть содержимое запроса до отправки на сервер.

Основные кнопки:

• Forward — отправить текущий запрос дальше.
• Drop — отбросить запрос.
• Intercept on/off — включить или выключить ручной перехват.
• Action — отправить запрос в другие инструменты: Repeater, Intruder, Organizer и т.д.

После проверки лучше выключить Intercept, иначе браузер будет постоянно “зависать” на каждом запросе. Даже в официальном туториале PortSwigger сказано, что браузеры обычно отправляют много запросов, поэтому часто не нужно перехватывать каждый из них; удобнее выключить Intercept и анализировать трафик через HTTP history.

---

8. Настройка Target Scope

Target Scope — это границы тестирования. Это одна из самых важных настроек. Она отвечает на вопрос: какие домены и URL мы реально тестируем?

Например, ты проверяешь сайт:

example.kz

Но браузер параллельно грузит:

• Google Analytics;
• YouTube;
• CDN;
• шрифты;
• карты;
• пиксели соцсетей.

Без scope история будет забита мусором. Поэтому нужно добавить в scope только свой сайт или тестовый стенд.

Настройка:

1. открой Target → Site map;
2. найди нужный хост;
3. правой кнопкой мыши;
4. выбери Add to scope;
5. согласись исключить out-of-scope traffic;
6. в Proxy history включи фильтр Show only in-scope items.

PortSwigger объясняет, что target scope указывает Burp, какие URL и хосты ты хочешь тестировать, и помогает отфильтровать шум от браузера и сторонних сайтов.

Базовые настройки Proxy Listener

Proxy Listener — это локальный адрес и порт, на котором Burp принимает трафик от браузера.

Обычно:

127.0.0.1:8080

Где смотреть:

Settings → Tools → Proxy → Proxy listeners

Что можно настроить:

• IP-адрес прослушивания;
• порт;
• поддерживаемые протоколы;
• видимость для внешних устройств;
• правила обработки TLS;
• поведение при ошибках.

Для обычного локального тестирования оставляй 127.0.0.1, потому что это значит, что Burp принимает подключения только с твоего компьютера. Если поставить прослушивание на всех интерфейсах, например для мобильного устройства, нужно понимать риски: Burp начнёт принимать подключения из локальной сети, если firewall это разрешит.

Настройка HTTP History

Proxy → HTTP history — это журнал всех HTTP-запросов и ответов, прошедших через Burp Proxy.

Здесь ты видишь:

• метод запроса: GET, POST, PUT, DELETE;
• URL;
• статус ответа: 200, 301, 403, 404, 500;
• MIME type;
• длину ответа;
• cookies;
• параметры;
• заголовки;
• тело запроса и ответа.

HTTP history нужен для анализа приложения. Ты ходишь по сайту как обычный пользователь, а потом смотришь, какие реальные запросы отправлялись. Официальная документация описывает HTTP history как место, где отображается HTTP-трафик, прошедший через Burp Proxy, включая изменения, сделанные в перехваченных сообщениях. (portswigger.net)

Практически полезные фильтры:

• показывать только in-scope;
• скрывать картинки, CSS, JS;
• показывать только запросы с параметрами;
• фильтровать по статусу;
• искать по слову;
• выделять интересные запросы цветом;
• добавлять заметки.

Настройка WebSockets History

Современные приложения часто используют WebSocket: чаты, уведомления, биржи, кабинеты, онлайн-игры, real-time интерфейсы. В Burp есть отдельная история WebSocket-сообщений.

Proxy → WebSockets history

Там можно смотреть входящие и исходящие сообщения, фильтровать их, анализировать формат данных и при необходимости отправлять интересные сообщения дальше в другие инструменты. Документация PortSwigger указывает, что WebSockets history позволяет видеть запись WebSocket-сообщений, которыми браузер Burp обменивается с веб-серверами, а также просматривать, перехватывать и изменять это взаимодействие.

Настройка Match and Replace

Proxy → Match and replace

Это механизм автоматической замены частей запросов и ответов.

Примеры легальных задач:

• автоматически добавлять тестовый заголовок;
• заменять User-Agent;
• отключать кэширование;
• подставлять тестовый токен в учебной среде;
• менять домен API на staging;
• помечать запросы специальным header для логов.

PortSwigger описывает Match and replace rules как правила, которые автоматически заменяют части HTTP- и WebSocket-сообщений при прохождении через proxy; их можно использовать, например, для изменения заголовков, переписывания контента или автоматического изменения токенов в реальном времени.

Использовать это нужно аккуратно. Если ты забудешь, что правило включено, можно долго искать странную ошибку, хотя на самом деле Burp сам меняет трафик.

Настройка сетевых параметров Burp

Раздел:

Settings → Network → Connections

Здесь задаётся, как Burp работает с сетью.

Возможности:

• platform authentication;
• таймауты;
• upstream proxy;
• SOCKS proxy.

PortSwigger пишет, что Connections settings позволяют настроить обработку сетевого трафика, включая platform authentication, timeouts, upstream proxy servers и SOCKS proxy.

Когда нужен Upstream Proxy

Например, если ты работаешь в корпоративной сети, где весь интернет идёт через proxy компании. Тогда Burp должен не напрямую ходить в интернет, а отправлять запросы через корпоративный proxy.

Схема будет такая:

Browser → Burp → Corporate Proxy → Internet

Когда нужен SOCKS Proxy

SOCKS может использоваться для специальных сетевых маршрутов, тестовых VPN/туннелей или изолированных лабораторных сред. Для обычного обучения это обычно не нужно.

Настройка TLS

TLS-настройки отвечают за то, как Burp взаимодействует с HTTPS-серверами. Там можно управлять проверкой upstream TLS, протоколами и шифрами. В обычной работе лучше не трогать эти параметры без необходимости.

TLS-настройки полезны, когда:

• тестируешь старую систему;
• есть проблемы с сертификатами;
• нужно понять поведение сервера на разных TLS-конфигурациях;
• корпоративная сеть использует нестандартную TLS-инфраструктуру.

Но для новичка правило простое: если HTTPS работает и запросы видны — не усложняй.

Настройка Project и User Settings

В Burp есть два уровня настроек:

• User settings — глобальные настройки для твоей установки Burp.
• Project settings — настройки только для текущего проекта.

Это удобно. Например, ты можешь на уровне User settings задать внешний proxy или тему интерфейса, а на уровне Project settings — отдельный scope, авторизацию, логи и правила для конкретного сайта. PortSwigger описывает это так: project settings хранятся внутри project file и применяются к текущему проекту, а user settings применяются ко всем disk-based и temporary projects на компьютере.

Настройка логирования

Логирование нужно, если ты хочешь сохранить доказательства, историю тестирования, рабочие данные или потом подготовить отчёт.

Что стоит делать:

• сохранять project file;
• помечать интересные запросы;
• добавлять notes;
• использовать Organizer;
• экспортировать важные запросы;
• не хранить лишние личные данные пользователей;
• не включать чрезмерное логирование на больших проектах без нужды.

Для профессионального аудита логирование — это не просто “история”, а основа будущего отчёта: что проверяли, какие запросы анализировали, какие выводы сделали.

Общий безопасный рабочий процесс в Burp Suite

Хороший порядок работы выглядит так:

1. Создать новый проект.
2. Открыть Burp Browser.
3. Добавить целевой сайт в Scope.
4. Включить фильтр “Show only in-scope”.
5. Пройтись по сайту как обычный пользователь.
6. Изучить HTTP history.
7. Найти интересные запросы: формы, авторизация, личный кабинет, корзина, API.
8. Отправить отдельные запросы в Repeater.
9. Проверить, как сервер реагирует на корректные и некорректные значения.
10. Использовать Scanner только на разрешённой тестовой среде.
11. Сохранять заметки и доказательства.
12. Подготовить отчёт: проблема, риск, шаги воспроизведения, влияние, рекомендация.

Подробный обзор функций Burp Suite

Ниже — разбор основных модулей. PortSwigger пишет, что инструменты Burp работают вместе, и интересные запросы можно передавать между ними по мере тестирования.

Dashboard

Dashboard — центральная панель управления задачами.

Здесь отображаются:

• активные сканы;
• live tasks;
• события;
• найденные issues;
• состояние автоматических задач;
• прогресс Scanner;
• ошибки и предупреждения.

В Professional Dashboard особенно важен, потому что через него запускаются и контролируются сканы. В Community он тоже полезен, но меньше нагружен автоматикой.

Использование:

• смотреть, что сейчас делает Burp;
• останавливать задачи;
• анализировать результаты;
• переходить к найденным проблемам;
• контролировать нагрузку.

Target

Target — карта целевого приложения.

Основные части:

• Site map — дерево хостов, URL и запросов.
• Scope — границы тестирования.
• Issue definitions / Issues — найденные проблемы, если используется Professional.

Target помогает видеть структуру сайта: страницы, API, параметры, директории, ответы, статусы. Это как карта приложения. Чем больше ты ходишь по сайту через Burp Browser, тем подробнее становится Site map.

Практическая польза:

• понять структуру сайта;
• увидеть скрытые API-запросы;
• найти формы и параметры;
• убрать мусор через scope;
• подготовить план ручного тестирования.

Burp’s Browser

Burp’s Browser — встроенный браузер, уже настроенный на работу через Burp.

Это лучший старт для новичка. Не нужно вручную настраивать proxy, сертификаты и системные параметры. Открыл Burp, нажал Open Browser, и можно работать.

Подходит для:

• обучения;
• быстрого анализа сайта;
• лабораторий;
• проверки форм;
• просмотра HTTP history;
• отправки запросов в Repeater.

Proxy

Proxy — сердце Burp Suite.

Он отвечает за перехват, просмотр и изменение трафика. Внутри Proxy есть несколько ключевых разделов:

Intercept

Здесь ты вручную останавливаешь запрос перед отправкой на сервер. Можно посмотреть метод, путь, параметры, cookies, заголовки, тело запроса.

Используется, когда нужно внимательно изучить конкретное действие: логин, отправку формы, добавление товара в корзину, изменение профиля, загрузку файла.

HTTP history

Здесь хранится история всех запросов и ответов. Это основной рабочий журнал.

WebSockets history

Здесь анализируются WebSocket-сообщения.

Match and replace

Здесь задаются автоматические правила замены.

Proxy settings

Здесь настраиваются listeners, сертификаты, обработка трафика и дополнительные параметры.

Proxy — это инструмент не только для “перехвата”, но и для понимания логики приложения. Многие проблемы находятся не сканером, а глазами специалиста, который видит: “вот параметр role=user”, “вот ID объекта”, “вот токен”, “вот разные ответы сервера”.

Scanner

Scanner — автоматический сканер уязвимостей. Он доступен в Burp Suite Professional и Burp Suite DAST. Scanner работает в две основные фазы:

1. Crawling — обходит сайт, изучает структуру, страницы, формы и функциональность.
2. Auditing — анализирует поведение сайта и ищет потенциальные уязвимости.

Scanner полезен, но его нельзя воспринимать как “волшебную кнопку”. Он хорошо помогает, но не заменяет ручной анализ бизнес-логики, авторизации, ролей, доступа к объектам, финансовых операций и нестандартных сценариев.

Где полезен:

• первичный аудит;
• поиск типовых проблем;
• проверка staging-среды;
• регулярные проверки;
• дополнение к ручному тестированию.

Где нужен ручной подход:

• сложная авторизация;
• личные кабинеты;
• роли пользователей;
• платёжная логика;
• скидки, балансы, бонусы;
• доступ к чужим объектам;
• нестандартные API.

PortSwigger отдельно предупреждает, что Scanner может иметь неожиданные эффекты на некоторые приложения, поэтому до полного понимания настроек его нужно использовать только на непроизводственных системах и не запускать против чужих сайтов без разрешения.

Repeater

Repeater — один из самых важных инструментов для ручного анализа.

Он позволяет взять интересный запрос, изменить его и отправлять повторно, наблюдая ответы сервера. PortSwigger описывает Repeater как инструмент, который позволяет изменять и снова отправлять HTTP- или WebSocket-сообщение много раз.

Типичный сценарий:

1. находишь запрос в HTTP history;
2. правой кнопкой → Send to Repeater;
3. меняешь один параметр;
4. нажимаешь Send;
5. сравниваешь ответ;
6. делаешь вывод.

Repeater нужен для проверки гипотез. Например:

• что будет, если убрать параметр;
• что будет, если изменить ID объекта;
• как сервер реагирует на пустое значение;
• меняется ли доступ при другой роли;
• отличается ли ответ для авторизованного и неавторизованного пользователя;
• как API обрабатывает нестандартные данные.

Главная ценность Repeater — контроль. Ты не запускаешь массовую автоматизацию, а аккуратно изучаешь поведение приложения.

Intruder

Intruder — инструмент автоматизированной отправки вариантов запроса.

Он берёт один запрос и подставляет разные значения в выбранные позиции. Его можно использовать для легального тестирования валидации, поиска нестандартных реакций сервера, проверки фильтров и анализа поведения параметров. PortSwigger описывает Intruder как гибкий инструмент для автоматизации задач при тестировании веб-приложений.

В Intruder есть понятие:

Positions — места в запросе, куда будут подставляться значения.

Payloads — значения, которые будут подставляться.

Attack type — режим подстановки.

Один из режимов — Sniper: он по очереди помещает payload в каждую выбранную позицию и полезен для индивидуальной проверки параметров.

Важное ограничение: Intruder нельзя использовать для несанкционированного подбора паролей, перегрузки сайтов или тестирования чужих систем. В учебной и рабочей среде его нужно применять аккуратно, с разрешением, ограничением скорости и пониманием нагрузки.

Sequencer

Sequencer — инструмент анализа случайности токенов.

Он нужен, чтобы оценить, насколько непредсказуемы:

• session tokens;
• CSRF tokens;
• password reset tokens;
• другие значения, которые должны быть случайными.

PortSwigger описывает Sequencer как инструмент для анализа качества случайности токенов, которые должны быть непредсказуемыми, включая session tokens, anti-CSRF tokens и password reset tokens. (portswigger.net)

Зачем это нужно? Если токены генерируются плохо, теоретически злоумышленник может угадывать или предсказывать их. В нормальном приложении токены должны быть криптографически стойкими и непредсказуемыми.

Sequencer не “взламывает” токены сам по себе. Он помогает статистически оценить качество случайности на выборке.

Decoder

Decoder — инструмент кодирования и декодирования данных.

Он помогает работать с:

• URL encoding;
• Base64;
• HTML encoding;
• Hex;
• Unicode;
• JWT-фрагментами;
• вложенными форматами.

Например, ты видишь странное значение в параметре. Decoder помогает понять, это обычный текст, URL-encoded строка, Base64, JSON внутри Base64 или несколько слоёв кодирования.

PortSwigger описывает Decoder как инструмент для ручного или автоматического декодирования и кодирования данных приложения.

Практическая польза:

• понять содержимое параметра;
• аккуратно преобразовать данные;
• проверить, что именно отправляет клиент;
• сравнить разные форматы представления данных.

Comparer

Comparer — инструмент сравнения двух сообщений или фрагментов данных.

Он полезен, когда у тебя есть два похожих ответа, но поведение приложения отличается. Например:

• один пользователь видит кнопку, другой нет;
• один запрос возвращает 200, другой 403;
• после изменения параметра ответ почти такой же, но где-то есть важная разница;
• нужно сравнить два токена или два JSON-ответа.

PortSwigger описывает Comparer как утилиту для визуального diff между двумя элементами данных, например похожими HTTP-сообщениями.

Logger

Logger — инструмент записи и анализа HTTP-трафика, который генерирует Burp Suite.

Он помогает видеть не только трафик браузера, но и активность инструментов Burp. Например, что отправлял Repeater, Scanner или другие компоненты.

Полезен, когда:

• нужно понять, откуда появился запрос;
• нужно отследить активность Burp;
• нужно анализировать поведение автоматических задач;
• нужно разбирать сложный проект.

Inspector

Inspector — панель удобного анализа HTTP- и WebSocket-сообщений.

Он показывает важные части сообщения в структурированном виде:

• query parameters;
• body parameters;
• cookies;
• headers;
• path;
• JSON/XML;
• атрибуты запроса и ответа.

Это удобно, потому что в сыром HTTP можно что-то не заметить. Inspector помогает быстро увидеть, какие параметры вообще есть в запросе.

PortSwigger описывает Inspector как инструмент с полезными функциями для анализа и редактирования HTTP- и WebSocket-сообщений.

Collaborator

Collaborator — профессиональный инструмент для выявления out-of-band уязвимостей. Доступен в Professional.

Out-of-band — это ситуации, когда результат проверки приходит не напрямую в HTTP-ответе, а через внешний сетевой канал. Например, приложение может инициировать DNS- или HTTP-взаимодействие с внешним сервером.

Burp Collaborator помогает фиксировать такие взаимодействия. В Repeater можно вставлять Collaborator payload через контекстное меню, а также генерировать payloads в отдельной вкладке Collaborator.

Это продвинутый инструмент. Для новичка сначала лучше освоить Proxy, HTTP history, Repeater, Decoder и Scope.

DOM Invader

DOM Invader — инструмент для поиска DOM XSS и анализа client-side JavaScript.

Он помогает смотреть, как данные попадают в JavaScript на странице, какие источники и приёмники используются, и где потенциально может быть небезопасная обработка данных.

Подходит для:

• анализа SPA;
• client-side роутинга;
• JavaScript-heavy приложений;
• проверки DOM-зависимой логики.

Для нормальной работы с DOM Invader нужно понимать основы JavaScript, DOM, sources/sinks и XSS на уровне концепции.

Clickbandit

Clickbandit — инструмент для создания демонстраций clickjacking-сценариев. В документации Burp он указан как инструмент для генерации clickjacking attacks.

В легальном аудите он нужен не для “атаки на людей”, а для доказательства риска: показать владельцу системы, что страницу можно встроить во фрейм и обмануть пользователя на клик. В отчёте это превращается в рекомендацию: настроить защитные заголовки вроде Content-Security-Policy: frame-ancestors или X-Frame-Options там, где это применимо.

Message Editor

Message editor — редактор HTTP-запросов и ответов внутри Burp.

Ты видишь его почти везде:

• Proxy;
• Repeater;
• Intruder;
• Scanner results;
• Logger;
• Organizer.

Обычно там есть вкладки:

• Raw;
• Pretty;
• Hex;
• Render;
• Inspector.

Message editor нужен для просмотра и изменения сообщений в удобном формате. Например, JSON можно смотреть красиво отформатированным, а бинарные данные — в Hex.

Engagement tools

Engagement tools — набор вспомогательных функций для профессионального аудита.

Они могут помогать:

• анализировать структуру сайта;
• готовить материалы для отчёта;
• строить карту;
• извлекать интересную информацию;
• организовывать результаты.

В Community часть таких возможностей может быть недоступна или ограничена.

Search

Search — глобальный поиск внутри Burp.

Можно искать по:

• Target;
• Proxy;
• Repeater;
• Organizer;
• запросам;
• ответам;
• заголовкам;
• телам сообщений.

PortSwigger указывает, что Search позволяет выбирать, где искать, например в Target, Repeater, Proxy или Organizer, а также выбирать области HTTP-сообщений: запросы, ответы, headers или body.

Полезные поисковые сценарии:

• найти все запросы с token;
• найти ответы, где встречается admin;
• найти email в истории;
• найти конкретный API endpoint;
• найти ошибки сервера;
• найти JSON-поле.

Command Palette

Command palette — быстрый запуск команд с клавиатуры.

Это похоже на командную палитру в VS Code. Когда привыкаешь, ускоряет работу: можно быстро найти нужную команду, вкладку, действие или настройку без долгого кликанья по меню.

Infiltrator

Infiltrator — более специфический инструмент, связанный с обнаружением того, проходит ли ввод Burp к потенциально небезопасным API. В списке инструментов PortSwigger он описан как инструмент для определения, передаются ли входные данные Burp в потенциально небезопасные API.

Это не базовый инструмент для старта. Его стоит изучать позже, когда уже есть понимание веб-уязвимостей, серверной логики и внутренней обработки данных.

Organizer

Organizer — рабочая записная книжка внутри Burp.

Сюда можно сохранять HTTP-сообщения, которые нужно изучить позже. PortSwigger описывает Organizer как инструмент для хранения и аннотирования HTTP-сообщений, к которым нужно вернуться.

Практически это очень полезно:

• нашёл странный запрос — отправил в Organizer;
• добавил заметку;
• выделил цветом;
• позже вернулся;
• на основе заметок подготовил отчёт.

Без Organizer большой аудит превращается в хаос.

Context Menu

Контекстное меню — это правый клик почти в любом месте Burp.

Через него можно:

• отправить запрос в Repeater;
• отправить в Intruder;
• отправить в Organizer;
• декодировать значение;
• искать похожие запросы;
• добавить в scope;
• скопировать URL;
• создать заметку;
• применить расширение.

Context menu — одна из причин, почему Burp удобен: инструменты связаны между собой, и запрос можно быстро передавать из одного модуля в другой.

Filter Settings

Фильтры есть почти везде: Proxy history, WebSockets history, Target, Logger, Organizer. Они нужны, чтобы не утонуть в трафике. Что обычно фильтруют:

• только in-scope;
• только запросы с параметрами;
• скрыть static files;
• только JSON;
• только ответы 4xx/5xx;
• только отмеченные цветом;
• только запросы с заметками;
• только определённый MIME type.

Хороший навык работы с фильтрами сильно ускоряет аудит.

Расширения Burp Suite

Burp можно расширять через Extensions и BApp Store. На странице сравнения продуктов PortSwigger указывает, что Burp Suite Professional поддерживает более 250 Burp Extensions/BApps для настройки рабочих процессов.

Расширения могут добавлять:

• новые проверки;
• новые вкладки;
• пассивный анализ;
• интеграции;
• обработку JWT;
• работу с API;
• улучшение интерфейса;
• дополнительные форматы декодирования.

Но здесь есть важное правило: не ставь расширения бездумно. Расширение получает доступ к трафику, а значит может видеть токены, cookies, персональные данные и внутренние API. Ставь только известные расширения из доверенных источников и лучше в отдельной среде.

Burp AI

В новых версиях Burp развивается направление AI-функций. PortSwigger описывает Burp AI как AI-powered insights, automation и улучшения эффективности для специалистов, использующих Burp Suite Professional.

Но относиться к этому нужно как к помощнику, а не как к финальному авторитету. AI может ускорить анализ, помочь сформулировать гипотезу или объяснить issue, но решение специалиста всё равно должно опираться на воспроизводимость, доказательства и понимание риска.

Как правильно использовать Burp Suite в обучении

Для обучения я бы шёл так:

Этап 1. Основы HTTP

Разобраться с методами GET/POST, headers, cookies, status codes, redirects, JSON, forms.

Этап 2. Proxy и HTTP history

Научиться видеть, какие запросы уходят при каждом действии на сайте.

Этап 3. Scope и фильтры

Научиться отделять целевой трафик от мусора.

Этап 4. Repeater

Научиться вручную менять запросы и анализировать ответы.

Этап 5. Decoder и Comparer

Научиться понимать закодированные данные и сравнивать различия.

Этап 6. Intruder

Аккуратно изучить автоматизацию на учебных стендах.

Этап 7. Scanner

Если есть Professional — научиться запускать сканы только на разрешённых тестовых системах.

Этап 8. Отчёты

Учиться не просто “находить баг”, а описывать: причина, риск, воспроизведение, влияние, рекомендация.

Частые ошибки новичков

Ошибка 1. Не настроен сертификат

Симптом: HTTPS-сайты открываются с ошибками.

Решение: использовать Burp Browser или правильно установить CA-сертификат в отдельный браузерный профиль.

Включён Intercept, и интернет не работает

Симптом: страницы не грузятся.

Решение: зайти в Proxy → Intercept и выключить Intercept. PortSwigger в troubleshooting тоже советует при зависании браузера проверить, не удерживаются ли запросы во вкладке Proxy → Intercept.

Нет Scope

Симптом: в HTTP history сотни лишних запросов.

Решение: добавить целевой домен в scope и включить фильтр only in-scope.

Тестирование production без подготовки

Симптом: можно случайно создать нагрузку, сломать данные, отправить формы, изменить состояние системы.

Решение: использовать staging, backup, тестовые аккаунты и письменное разрешение.

Слепая вера Scanner

Scanner помогает, но не заменяет голову. Особенно в бизнес-логике, правах доступа и финансовых сценариях.

Хранение чувствительных данных

В project file могут попасть cookies, токены, персональные данные, API-запросы. Такие файлы нельзя отправлять посторонним.

Мини-чеклист настройки Burp Suite

Перед работой:

1. Установлен Burp Suite.
2. Создан отдельный project file.
3. Открыт Burp Browser или настроен внешний браузер.
4. Для внешнего браузера установлен CA-сертификат.
5. Proxy listener работает на 127.0.0.1:8080.
6. Target добавлен в scope.
7. Включён фильтр only in-scope.
8. Intercept выключен для обычного просмотра.
9. Интересные запросы отправляются в Repeater.
10. Автоматические функции используются только на разрешённой среде.
11. Важные находки сохраняются в Organizer.
12. В конце формируется понятный отчёт.

Burp Suite — это не просто программа для перехвата запросов. Это полноценная рабочая среда для анализа веб-приложений. Её сила в том, что она соединяет ручное мышление специалиста и автоматизацию: Proxy показывает реальный трафик, Target помогает строить карту приложения, Repeater позволяет проверять гипотезы, Intruder автоматизирует повторяющиеся проверки, Scanner помогает находить типовые уязвимости, Decoder и Comparer ускоряют анализ данных, Organizer помогает не потерять важные находки.

Для новичка главный путь такой: сначала понять HTTP, потом освоить Proxy и Repeater, затем Scope, фильтры, Decoder, Comparer, Intruder и только потом переходить к Scanner, Collaborator, DOM Invader и расширениям. Тогда Burp Suite станет не хаотичной программой с кучей вкладок, а понятным профессиональным инструментом AppSec-специалиста.