Burp Suite — Masterclass para Testes Web

Guia completo do Burp Suite: configuração, proxy, scanner, Intruder, Repeater e extensões essenciais para pentesting web

burp-suite web ferramentas pentesting 3 min de leitura

O Burp Suite é a ferramenta de referência para testes de segurança em aplicações web. Se fazes pentesting web sem Burp, estás a trabalhar com as mãos atadas. Este guia cobre tudo desde a configuração inicial até técnicas avançadas.

Configuração Inicial

Proxy Setup

O Burp actua como proxy entre o teu browser e a aplicação alvo. Setup básico:

  1. Burp → Proxy → Options → Add listener em 127.0.0.1:8080
  2. Browser → Configurar proxy HTTP para 127.0.0.1:8080
  3. Instalar o certificado CA do Burp para interceptar HTTPS:
    • Navegar para http://burpsuite no browser configurado
    • Descarregar e instalar o certificado CA

FoxyProxy (Firefox) ou Proxy SwitchyOmega (Chrome) facilitam a alternância de proxies.

Configuração para CTF / Bug Bounty

# Scope settings — importante para não perder tempo com requests irrelevantes
Target → Scope → Add host
[ ] Include subdomains: ✓ (para bug bounty)

Ferramentas Essenciais

Proxy — Interceptação

O coração do Burp. Intercepta e modifica requests em tempo real.

Atalhos indispensáveis:

  • Ctrl+R — Enviar para Repeater
  • Ctrl+I — Enviar para Intruder
  • Ctrl+F — Forward request
  • Ctrl+Shift+F — Forward all

Repeater — Testes Manuais

O Repeater permite enviar requests modificados repetidamente. Usa para:

  • Testar payloads de SQLi manualmente
  • Explorar diferentes valores de parâmetros
  • Verificar comportamento de autenticação
  • Testar lógica de negócio
Exemplo — testar SQLi em parâmetro id:
GET /produto?id=1 HTTP/1.1    →    GET /produto?id=1' HTTP/1.1

Intruder — Ataques Automatizados

O Intruder automatiza ataques de fuzzing. Tipos de ataque:

  • Sniper — um payload de cada vez, num único ponto de injecção
  • Battering Ram — o mesmo payload em múltiplos pontos simultaneamente
  • Pitchfork — múltiplas listas de payloads em múltiplos pontos (para credential stuffing)
  • Cluster Bomb — todas as combinações de múltiplas listas
Exemplo — Brute force de login:
POST /login HTTP/1.1
username=§admin§&password=§password§

Payload type: Pitchfork
Payload 1: usernames.txt
Payload 2: passwords.txt

Nota: O Intruder na versão Community é limitado em velocidade. Para ataques sérios, usa a versão Professional ou alternativas como ffuf/hydra.

Scanner (Versão Professional)

O scanner activo do Burp Pro identifica automaticamente:

  • Injecção (SQL, XSS, SSTI, Command Injection)
  • Problemas de controlo de acesso
  • Exposição de informação sensível
  • Configurações incorrectas de segurança
Forma de uso recomendada:
1. Faz crawl manual da aplicação primeiro (deixa o Burp registar tudo)
2. Depois lança o scan activo — tem mais contexto e é mais preciso

Extensões Essenciais (BApp Store)

Para Encontrar Vulnerabilidades

  • ActiveScan++ — melhora significativamente o scanner nativo
  • JWT Editor — manipulação e ataque a JSON Web Tokens
  • Param Miner — descobre parâmetros ocultos que o crawler perde
  • Autorize — testa automaticamente problemas de controlo de acesso (IDOR)
  • Turbo Intruder — Intruder em Python, muito mais rápido

Para Workflow

  • Logger++ — logging avançado de todos os requests
  • Burp Bounty — cria perfis de scan customizados
  • Hackvertor — encoding/decoding de payloads (muito útil para bypass de WAF)

Técnicas Avançadas

CORS Misconfiguration Testing

Adiciona header à request:
Origin: https://attacker.com

Se a resposta incluir:
Access-Control-Allow-Origin: https://attacker.com
Access-Control-Allow-Credentials: true

→ Vulnerabilidade CORS crítica

HTTP Request Smuggling

Transfer-Encoding: chunked
Content-Length: [valor manipulado]

# Usa a extensão "HTTP Request Smuggler" para automatizar a detecção

WebSocket Testing

O Burp intercepta e permite modificar mensagens WebSocket em tempo real — funcionalidade que muitos testadores subestimam.

Workflow para CTF/Pentest

  1. Configurar scope antes de começar
  2. Browse manual da aplicação — deixa o Burp registar tudo no histórico
  3. Rever o site map — identificar endpoints interessantes
  4. Testar autenticação — brute force, bypass, weak tokens
  5. Testar inputs — todos os parâmetros com payloads básicos no Repeater
  6. Lançar scanner (se Pro) com scope definido
  7. Testar lógica de negócio — isto o scanner não encontra, requer análise manual

Conclusão

O Burp Suite é uma ferramenta que se domina com prática. A versão Community é suficiente para aprendizagem; a versão Professional justifica o investimento se fazes pentesting profissionalmente ou bug bounty seriamente.

O próximo artigo desta série cobre especificamente o testing de APIs REST e GraphQL com Burp Suite.

burp-suite web ferramentas pentesting