Кратко: Burp Suite — это швейцарский нож для веб-пентеста. Он встаёт между вашим браузером и интернетом, позволяя перехватывать, изменять и анализировать каждый запрос. Если ты хочешь найти дыру на сайте — Burp первое, что ты откроешь после браузера.

▫️ Proxy (Сердце всего) Burp Proxy — это точка входа. Ты настраиваешь браузер (или используешь встроенный) на 127.0.0.1:8080, включаешь Intercept — и трафик замирает прямо в воздухе. Ты видишь сырой HTTP-запрос, можешь изменить в нём что угодно (параметр, заголовок, cookie) и отправить дальше серверу. Именно здесь начинаются все атаки.

▫️ Repeater (Повторитель) Нашёл подозрительный запрос в Proxy (например, с ID пользователя) — нажал правой кнопкой, Send to Repeater. Дальше ты король и бог: редактируй этот запрос сколько угодно, нажимай Send и смотри, как сервер реагирует на твои манипуляции. Можно менять ID, подставлять теги XSS, пробовать SQL-инъекции. В новой версии Repeater появились цветные группы вкладок и поиск по ним, что спасает при работе с десятками открытых запросов.

▫️ Intruder (Автоматический взломщик) Там, где Repeater делает один выстрел, Intruder устраивает шквальный огонь. Ты выделяешь места в запросе (например, username=§admin§), загружаешь словарь паролей (wordlist), выбираешь атаку и ждёшь. Снайпер (Sniper) перебирает один словарь по очереди. Cluster bomb генерирует все комбинации логинов и паролей. В Intruder можно настраивать Payload Processing — добавлять префиксы/суффиксы, кодировать в URL, обрезать пробелы. Grep Match подсвечивает найденные результаты прямо в таблице. А главное — современный Intruder (как и Repeater) научился переиспользовать TCP-соединения (HTTP/1 keep-alive), что ускоряет атаки в разы, открывая один канал на всю сессию вместо нового соединения на каждый запрос.

▫️ Scanner (Автопилот) (Только в Pro) Scanner берёт на себя чёрную работу. Он сканирует сайт и сам ищет XSS, SQL-инъекции и другие дыры OWASP Top 10. Пользователи отмечают его удобство для быстрого поиска очевидных уязвимостей. В 2026 году он умеет распознавать GraphQL-эндпоинты и запускать интроспекцию, выкачивая всю схему API. Но помни: Scanner видит только вершину айсберга. Сложные логические баги и IDOR он чаще всего пропускает — здесь нужен ручной труд.

▫️ BCheck: Пишем свои правила для сканера Эта фича позволяет писать простые скрипты на встроенном языке, чтобы натренировать Scanner искать специфические уязвимости. Хочешь проверить, не выдают ли серверы версию Apache в заголовках или не падают ли на определённом шаблоне SSTI? Пишешь условие на BCheck, подключаешь его к сканеру, и он добавляет этот тест в свой арсенал. Идеально для глубокого кастомного тестирования, когда стандартных сигнатур недостаточно.

▫️ Другие полезные модули Decoder перегоняет текст туда-сюда (Base64, URL-encode, HTML-entities). Comparer сравнивает два ответа сервера — незаменим, когда нужно понять разницу между запросом админа и обычного пользователя. Sequencer анализирует случайность токенов. Turbo Intruder — молниеносная модификация Intruder на Python для экстремального фаззинга тысяч параметров.

▫️ Культурный феномен Burp настолько въелся в плоть веб-пентеста, что его название стало глаголом: «давай я прокину это в Burp» или «забурпь запрос». Основная дилемма всегда между Community Edition (бесплатной, но медленной и без сканера) и Professional (быстрой, со сканером, но платной). Пользователи хвалят гибкость, но жалуются, что бесплатная версия теряет ключевые фичи вроде автоматического сканирования, а лицензия стоит дорого. Тем не менее, для 90% задач профессионального пентеста Burp Suite Professional остаётся золотым стандартом, а его регулярные обновления от PortSwigger держат его на острие атаки.

#burpsuite #веббезопасность #пентест #http #багбаунти #инфобез