Burp Suite

Warum es wichtig ist

Der Browser ist für Nutzer gebaut, nicht für Tester. Er kodiert Eingaben, folgt Weiterleitungen und rendert eine freundliche Fehlerseite, während er die Stacktraces und Datenbankfehler, die der Server zurückschickt, leise verwirft. Burp Suite entfernt diesen Filter. Als abfangender Proxy zeigt es dir die exakten Bytes, die deine Maschine verlassen, und die exakten Bytes, die der Server zurückgibt, und genau dort werden Information Disclosure, SQL Injection, Authentifizierungs-Bypass und IDOR sichtbar.

Für jeden, der Offensive Security lernt oder im Bug Bounty anfängt, ist Burp Suite meist das erste professionelle Werkzeug, das er in die Hand nimmt, denn fast jeder manuelle Web-Fund beginnt damit, einen Request darin zu lesen oder zu verändern. Von PortSwigger entwickelt, ist es zur gemeinsamen Sprache des Web-Testens geworden: Sagt ein Researcher, er habe etwas "an Repeater geschickt" oder "durch Intruder laufen lassen", weiß jeder andere Tester genau, was er getan hat.

Kernwerkzeuge

Burp Suite ist keine einzelne Funktion, sondern eine Sammlung von Werkzeugen, die sich den erfassten Traffic teilen:

• Proxy: fängt den Traffic zwischen Browser und Server ab, sodass du jeden Request pausieren, lesen und bearbeiten kannst, bevor er gesendet wird. Die Proxy-History ist zugleich eine vollständige Karte jedes Endpunkts, den die Anwendung aufgerufen hat, einschließlich der still per JavaScript ausgelösten.
• Repeater: lässt dich einen einzelnen Request immer wieder mit kleinen Änderungen erneut senden, das Arbeitstier für Parameter Tampering und manuelles Sondieren.
• Intruder: automatisiert das Senden vieler Payloads an gewählte Positionen, nützlich zum Fuzzing von Parametern, zum Enumerieren von IDs und zum Brute-Forcen von Werten.
• Decoder und Comparer: kodieren, dekodieren und vergleichen Daten, sodass du Tokens verstehst und subtile Unterschiede zwischen zwei Responses erkennst.
• Scanner (nur Professional): crawlt und testet automatisch auf gängige Schwachstellenklassen und meldet dann bestätigte und mutmaßliche Befunde.

Ein typischer Workflow

Ein echter Test beginnt selten mit einer exotischen Payload. Er beginnt mit Lesen. Du surfst die Anwendung ganz normal an, während Burp jeden Request aufzeichnet, dann pickst du dir einen interessanten heraus, zum Beispiel ein POST /api/reviews/vote, das eine numerische reviewId trägt. Du schickst ihn an Repeater, hängst ein einzelnes Anführungszeichen an die ID an und sendest erneut. Wechselt die Response von einem sauberen 200 OK zu einem 500 mit einem Datenbankfehler, hast du eine Information Disclosure gefunden, die der Browser hinter einer generischen Meldung verborgen hätte. Diese Schleife aus Erfassen, Verändern, erneut Senden, Lesen ist das Herzstück des Webanwendungs-Penetrationstests.

Community gegen Professional

Die Burp Suite Community Edition ist kostenlos und enthält Proxy, Repeater und Decoder, die jede manuelle Technik abdecken, die ein Einsteiger braucht. Burp Suite Professional fügt den automatisierten Scanner, einen ungedrosselten Intruder, gespeicherte Projekte und den BApp-Erweiterungs-Store hinzu, in dem Werkzeuge wie die 403-Bypass-Erweiterungen und Autorisierungs-Tester leben. Du kannst den gesamten manuellen Workflow auf der Community Edition lernen und üben, bevor du entscheidest, ob die Professional-Lizenz für deine Arbeit ihr Geld wert ist.

Wie du anfängst

Installiere Burp Suite, konfiguriere deinen Browser so, dass er den Traffic durch den Proxy leitet, und installiere dann Burps CA-Zertifikat, damit HTTPS-Traffic lesbar ist. Surfe das Ziel ganz normal an und beobachte, wie sich die Request-History füllt. Von dort fängst du einen Request ab, schickst ihn an Repeater, änderst einen Wert nach dem anderen und liest die rohe Response. Kombiniere das Werkzeug mit den kostenlosen Labs der PortSwigger Web Security Academy, um jede Schwachstellenklasse sicher und legal zu üben, bevor du je ein Live-Programm anfasst.