KB / Статті / Burp Suite: перехоплення та аналіз HTTP
UA EN

Burp Suite: перехоплення та аналіз HTTP

✍ admin 📅 10.06.2026 👁 28 переглядів

Що таке Burp Suite?

Burp Suite від PortSwigger — стандартний інструмент для тестування веб-застосунків. Він виступає як проксі між браузером і сервером, дозволяючи перехоплювати, аналізувати та модифікувати HTTP/HTTPS трафік.

Community Edition — безкоштовна, достатня для CTF. Professional — додає автоматичний сканер, Collaborator та інше.

Налаштування

1. Запустіть Burp Suite

Proxy → Options → перевірте що listener на 127.0.0.1:8080.

2. Налаштуйте браузер

Firefox (рекомендовано): - Settings → Network Settings → Manual proxy: 127.0.0.1:8080 - Або використайте FoxyProxy розширення

Або використайте вбудований браузер Burp: Proxy → Open Browser

3. Встановіть сертифікат (для HTTPS)

  • Перейдіть на http://burpsuite або http://127.0.0.1:8080
  • Завантажте CA сертифікат
  • Імпортуйте в браузер: Firefox → Settings → Certificates → Import

Proxy — перехоплення запитів

Intercept is ON — Burp перехоплює кожен запит.

Що можна зробити: - Forward — пропустити запит далі - Drop — скинути запит - Action → Send to Repeater/Intruder — передати в інший модуль - Змінити будь-яке поле запиту перед forwarding

HTTP History — лог всіх запитів. Дуже корисно для аналізу навіть без перехоплення.

Repeater — ручне тестування

Repeater дозволяє відправляти один запит багато разів із змінами — ідеально для ручного тестування.

Workflow: 1. HTTP History → ПКМ на запит → Send to Repeater 2. Вкладка Repeater → змінюйте параметри 3. Send → аналізуйте Response 4. Повторюйте

Приклад тестування SQLi:

GET /user?id=1 HTTP/1.1
→ змінюємо на id=1'
→ id=1 OR 1=1--
→ id=1 UNION SELECT null,null--

Intruder — автоматизовані атаки

Intruder автоматизує перебір значень у запиті.

Позначення позицій

GET /login?username=§admin§&password=§password§ HTTP/1.1

§ — маркер позиції для перебору.

Типи атак

Sniper — один список, підставляє по одній позиції. Найчастіший.

Cluster Bomb — декілька списків, всі комбінації. Для брутфорсу логін+пароль.

Приклад: брутфорс форми логіну

  1. Відправте запит логіну в Intruder
  2. Positions → позначте поле пароля: password=§§
  3. Payloads → завантажте список паролів
  4. Start Attack
  5. Відсортуйте за Length або Status — відмінна відповідь = правильний пароль

Увага: Community Edition має rate limiting в Intruder. Для швидшого брутфорсу використовуйте ffuf або hydra.

Decoder — кодування/декодування

Швидке кодування/декодування прямо в Burp: - Base64 encode/decode - URL encode/decode - HTML encode/decode - Hex - Hashing (MD5, SHA)

Scanner (тільки Pro)

Автоматично сканує додаток на вразливості: SQLi, XSS, XXE, SSRF та інші.

У Community Edition є passive scanning — аналіз трафіку без активних запитів.

Корисні трюки

Match and Replace

Proxy → Options → Match and Replace: автоматично замінює частини запитів/відповідей.

Приклад: автоматично змінювати role=user на role=admin у всіх запитах.

Scope

Target → Scope: обмежте Burp лише цільовим хостом, щоб не перехоплювати зайве.

Shortcuts

  • Ctrl+R — Send to Repeater
  • Ctrl+I — Send to Intruder
  • Ctrl+U — URL encode вибраного

Burp для CTF: типовий flow

1. Ввімкніть Intercept
2. Реєструйтеся / логіньтеся / виконуйте дії
3. Аналізуйте HTTP History
4. Підозрілі параметри → Send to Repeater → тестуйте вручну
5. Знайшли SQLi/XSS → Send to Repeater/Intruder для глибшого аналізу
6. Перевіряйте cookies, hidden fields, заголовки
Коментарі (0)
Увійди, щоб залишити коментар.
Коментарів поки немає.
?