// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Ferramentas / Burp Suite — Web Application Testing
● Intermediário 28 min de leitura Burp Suite Proxy Intruder Scanner Repeater OWASP Web Testing

Burp Suite — Web Application Testing

Burp Suite é o padrão da indústria para teste de segurança em aplicações web. Proxy interceptador, scanner de vulnerabilidades, fuzzer, brute force, análise de tokens — uma suíte completa para qualquer pentest web.

Configuração Inicial

# Proxy padrão: 127.0.0.1:8080
# Configurar navegador ou usar FoxyProxy

# Instalar CA do Burp no navegador:
# Acessar http://burpsuite enquanto proxy ativo
# Download: CA Certificate
# Firefox: about:preferences → Certificates → Import
# Chrome: Configurações → Segurança → Gerenciar Certificados

# Certificado instalado = interceptar HTTPS sem erro SSL

# Scope — definir escopo para não capturar tráfego irrelevante
# Target → Scope → Add → inserir domínio alvo

Proxy — Interceptação e Modificação

# Interceptar request
# Proxy → Intercept → Intercept is on
# Cada request fica pausado — modificar antes de enviar

# Técnicas de modificação:
# - Alterar parâmetros (testar SQLi, XSS)
# - Mudar método HTTP (GET → POST)
# - Adicionar/remover headers
# - Modificar cookies
# - Alterar Content-Type

# Forward: enviar o request como está
# Drop: descartar o request
# Action → Send to Repeater: para análise manual
# Action → Send to Intruder: para automatizar testes

Repeater — Testes Manuais

# Usar Repeater para:
# - Testar payloads manualmente e ver resposta
# - Comparar respostas de requests diferentes
# - Testar condições de corrida (enviar múltiplos simultâneos)
# - Exploração manual de vulnerabilidades

# Atalho: Ctrl+R para mandar para Repeater
# Ctrl+Shift+R para ir para aba Repeater
# Ctrl+Space para enviar request no Repeater

Intruder — Fuzzing e Automação

# Tipos de ataque:

# Sniper: testa um payload por vez em uma posição
# Battering Ram: mesmo payload em todas as posições simultaneamente
# Pitchfork: múltiplas listas, uma posição por lista (paralelo)
# Cluster Bomb: produto cartesiano de todas as listas em todas as posições

# Caso de uso típico — brute force de login:
# 1. Capturar request POST de login
# 2. Send to Intruder
# 3. Marcar: username=§user§&password=§pass§
# 4. Tipo: Cluster Bomb
# 5. Payload 1: lista de usernames
# 6. Payload 2: lista de senhas
# 7. Start Attack
# 8. Filtrar por comprimento de resposta diferente = credencial válida

# Caso de uso — fuzzing de parâmetros:
# Posição: id=§FUZZ§
# Tipo: Sniper
# Payload: números 1-10000
# Filtrar por status 200 e comprimento > 100

# Payloads úteis:
# Simple list: wordlist customizada
# Numbers: range numérico (1 a 99999)
# Dates: datas em vários formatos
# Brute forcer: caracteres específicos até N tamanho
# Null payloads: enviar N vezes o mesmo request (race conditions)

# Encodings de payload:
# URL encode, HTML encode, Base64, MD5, SHA1, etc.
# Stacking: aplicar múltiplos encodings

Scanner — Vulnerabilidades Automáticas

# Community: sem scanner ativo
# Pro: scanner completo

# Scan passivo: analisa tráfego que passa pelo proxy
# - Identifica inputs sem proteção
# - Detecta headers de segurança ausentes
# - Encontra informações sensíveis em respostas

# Scan ativo (Pro):
# Click direito em request → Scan
# Dashboard → New Scan

# Vulnerabilidades detectadas:
# SQLi, XSS, CSRF, SSRF, XXE, IDOR
# Clickjacking, weak SSL, missing headers
# Path traversal, RCE

# Crawling automático:
# Spider (Community) / Crawler (Pro)
# Mapeia todos os endpoints da aplicação
# Descobre conteúdo não linkado

Extensions Essenciais (BApp Store)

# Autorize — testa controle de acesso automaticamente
# Configura token de user de baixo privilégio
# Re-testa cada request autenticado com esse token
# Marca vermelho onde acesso indevido é permitido

# Logger++ — log avançado de todos os requests
# Filtros customizados, busca por conteúdo específico

# Turbo Intruder — Intruder em Python com velocidade extrema
# Usa HTTP/2 multiplexing — race conditions e timing attacks

# JWT Editor — manipulação de JSON Web Tokens
# Decode, modificar payload, ataques: alg:none, brute force secret

# ActiveScan++ — scanner melhorado para Pro
# Backslash Powered Scanner — detecta server-side injection
# CSRF Scanner — detecta CSRF automaticamente

# Upload Scanner — testa vulnerabilidades em upload de arquivo
# Param Miner — descobre parâmetros ocultos em headers/query/body
# InQL — teste de APIs GraphQL
# Wsdler — testa web services SOAP

Técnicas Avançadas

Race Conditions

# Burp Repeater → Create Tab Group → Send Group in Parallel
# Exemplo: resgatar cupom duplicado
# Múltiplos requests simultâneos podem ultrapassar verificação

# Turbo Intruder para race conditions precisas:
engine = Engine.BURP2
engine.queue(target.req, gate='race')
for i in range(50):
    engine.queue(target.req, gate='race')
engine.openGate('race')

WebSockets

# Proxy → WebSockets history
# Interceptar mensagens bidirecionais
# Enviar para Repeater para testes manuais
# Testar: SQLi, XSS, IDOR em mensagens WebSocket

Match and Replace Rules

# Proxy → Options → Match and Replace
# Exemplos úteis:
# Request Header → User-Agent → Mudar para mobile
# Response Body → HttpOnly → remover flag HttpOnly de cookies
# Request Body → "role":"user" → "role":"admin"
# Automatiza modificação em todo o tráfego

OAST — Out-of-Band Testing

# Burp Collaborator (Pro) — servidor para OOB interaction
# Gera subdomínios únicos em colaborator.portswigger.net
# Detecta: Blind XSS, Blind SQLi OOB, SSRF, XXE, Blind RCE

# Uso no payload:
payload_xss = ""
payload_ssrf = "https://SEU-ID.burpcollaborator.net"
payload_xxe = ""

# Alternativa gratuita: interactsh
# https://github.com/projectdiscovery/interactsh

Atalhos e Produtividade

Ctrl+R           → Send to Repeater
Ctrl+I           → Send to Intruder
Ctrl+Shift+F     → Send to Scanner
Ctrl+F           → Search
Ctrl+Z           → Undo no Repeater
Ctrl+Shift+Space → Comment/Highlight no History

# Annotations — marcar requests importantes
# Click direito → Add Comment
# Color highlight para organizar por severidade
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista