_CORE
Know-How

Burp Suite základy — web security testing

7 min čtení
SecurityBurp SuiteWebTesting

Burp Suite je swiss-army knife pro web security testing. Proxy, scanner, repeater, intruder — nástroje pro každou fázi testování.

Klíčové nástroje

  • Proxy: Zachytávání a modifikace HTTP requestů
  • Scanner: Automatická detekce zranitelností
  • Repeater: Ruční testování — opakování a modifikace requestů
  • Intruder: Automatizované útoky (brute force, fuzzing)
  • Decoder: Encoding/decoding (base64, URL, HTML)

Workflow

  1. Nastavte browser proxy (127.0.0.1:8080)
  2. Procházejte aplikaci — Burp mapuje endpoints
  3. Scanner najde automatické nálezy
  4. Repeater pro manuální testování
  5. Intruder pro parametr fuzzing

Příklad — testování IDOR

# 1. Zachyťte request v Proxy GET /api/users/123/profile HTTP/2 Authorization: Bearer eyJ... # 2. Pošlete do Repeater # 3. Změňte ID: /api/users/456/profile # 4. Pokud dostanete 200 → IDOR zranitelnost!

Klíčový takeaway

Burp Suite Community Edition je zdarma. Proxy + Repeater jsou vaše hlavní nástroje. Pro automatizaci Scanner (Pro verze).

CORE SYSTEMS tým

Praktické know-how z reálných projektů. Bez buzzwordů, s kódem.