Burp Suite

Perché È Importante

Il browser è costruito per gli utenti, non per i tester. Codifica l'input, segue i redirect e mostra un'amichevole pagina di errore mentre scarta in silenzio gli stack trace e gli errori del database che il server rispedisce indietro. Burp Suite rimuove quel filtro. Come proxy di intercettazione ti mostra i byte esatti che lasciano la tua macchina e i byte esatti che il server restituisce, ed è lì che information disclosure, SQL injection, bypass dell'autenticazione e IDOR diventano visibili.

Per chiunque stia imparando la sicurezza offensiva o muova i primi passi nel bug bounty, Burp Suite è di solito il primo strumento professionale che si mette in mano, perché quasi ogni scoperta web manuale inizia leggendo o modificando una richiesta al suo interno. Sviluppato da PortSwigger, è diventato la lingua comune del testing web: quando un ricercatore dice di aver "mandato la richiesta a Repeater" o di averla "fatta girare in Intruder", ogni altro tester sa esattamente cosa ha fatto.

Strumenti Principali

Burp Suite non è una singola funzionalità, ma un insieme di strumenti che condividono il traffico catturato:

• Proxy: intercetta il traffico tra il browser e il server così da poter mettere in pausa, leggere e modificare ogni richiesta prima che venga inviata. La cronologia del proxy è anche una mappa completa di ogni endpoint chiamato dall'applicazione, inclusi quelli innescati silenziosamente da JavaScript.
• Repeater: ti permette di rinviare una singola richiesta più e più volte con piccole modifiche, il cavallo da lavoro per il parameter tampering e il probing manuale.
• Intruder: automatizza l'invio di molti payload in posizioni scelte, utile per il fuzzing dei parametri, l'enumerazione di ID e il brute forcing dei valori.
• Decoder e Comparer: codificano, decodificano e fanno il diff dei dati così da capire i token e individuare sottili differenze tra due risposte.
• Scanner (solo Professional): esegue il crawling e testa automaticamente le classi di vulnerabilità più comuni, poi segnala i problemi confermati e quelli probabili.

Un Flusso di Lavoro Tipico

Un test reale parte raramente da un payload esotico. Parte dalla lettura. Navighi l'applicazione normalmente mentre Burp registra ogni richiesta, poi ne scegli una interessante, per esempio un POST /api/reviews/vote che trasporta un reviewId numerico. La mandi a Repeater, aggiungi un singolo apice all'ID e la rinvii. Se la risposta passa da un pulito 200 OK a un 500 che trasporta un errore del database, hai trovato una information disclosure che il browser avrebbe nascosto dietro un messaggio generico. Quel ciclo, cattura, modifica, rinvia, leggi, è il cuore del penetration testing delle applicazioni web.

Community vs Professional

Burp Suite Community Edition è gratuito e include Proxy, Repeater e Decoder, che coprono ogni tecnica manuale di cui un principiante ha bisogno. Burp Suite Professional aggiunge lo scanner automatico, un Intruder senza limiti di rate, i progetti salvati e il BApp extension store, dove vivono strumenti come le estensioni per il bypass del 403 e i tester di autorizzazione. Puoi imparare ed esercitarti sull'intero flusso di lavoro manuale con la Community Edition prima di decidere se la licenza Professional valga la spesa per il tuo lavoro.

Come Iniziare

Installa Burp Suite, configura il browser per instradare il traffico attraverso il proxy, poi installa il certificato CA di Burp così il traffico HTTPS sia leggibile. Naviga il target normalmente e guarda la cronologia delle richieste riempirsi. Da lì intercetti una richiesta, la mandi a Repeater, cambi un valore alla volta e leggi la risposta grezza. Abbina lo strumento ai lab gratuiti della PortSwigger Web Security Academy per esercitarti su ogni classe di vulnerabilità in modo sicuro e legale prima ancora di toccare un programma reale.