Hai appena ereditato un'applicazione web piena di endpoint, form e API. Il report di un precedente test dice “tutto ok”, ma il tuo istinto dice il contrario. Lo vediamo ogni giorno: aziende che hanno speso soldi in assessment superficiali e poi si ritrovano con un SQL injection in produzione. Burp Suite non è magia: è l’arnese che trasforma il tuo istinto in evidenza. Ma se lo usi solo per intercettare richieste, stai sfruttando il 10% del suo potenziale.
Noi, di Meteora Web, abbiamo integrato Burp Suite in pipeline di sicurezza per clienti che gestiscono dati sensibili (sanità, e-commerce, fintech). Veniamo dalla contabilità e dall’ERP: sappiamo che ogni vulnerabilità non fixata è un costo futuro. In questa guida ti mostriamo come usare Burp Suite non come un giocattolo, ma come una macchina da guerra per penetration testing web.
Che cos’è Burp Suite e perché è lo standard de facto nel penetration testing web?
Burp Suite è un proxy di intercettazione sviluppato da PortSwigger. Funziona da intermediario tra il tuo browser e il server target, permettendoti di analizzare, modificare e riprodurre ogni singola richiesta HTTP/HTTPS. Non è l’unico strumento (ZAP è open source e valido), ma la sua combinazione di Intruder, Repeater, Scanner e Decoder lo rende lo strumento preferito dai penetration tester professionisti.
Perché lo usiamo noi di Meteora Web
Abbiamo gestito il sistema ERP di un negozio di abbigliamento: lì ogni transazione contabile è tracciabile. Con Burp Suite è lo stesso: ogni richiesta è registrata, ogni modifica è documentata. Quando un cliente ci chiede “il mio sito è sicuro?”, partiamo da un test con Burp. Non ci fidiamo delle parole, solo dei log.
Sponsored Protocol
Azioni immediate: Scarica la Community Edition gratuita da PortSwigger. Se lavori professionalmente, la Professional Edition (circa 450€/anno) include lo scanner automatico e il salvataggio dei progetti.
Come si configura Burp Suite per intercettare il traffico HTTPS di un browser?
Il primo passo è far fidare il tuo browser del certificato CA di Burp. Senza questo, le richieste HTTPS rimarranno cifrate e invisibili.
Passaggi pratici
- Apri Burp Suite, vai su Proxy > Options > Import/Export CA certificate e salva il certificato.
- Nel browser (Chrome/Firefox), importa il certificato tra le Autorità di Certificazione fidate.
- In Burp, assicurati che Intercept sia su “Intercept is on”.
- Configura il proxy del browser su
127.0.0.1:8080(o l’IP della macchina che ospita Burp). - Visita un sito HTTPS: vedrai le richieste in sospeso. Premi Forward per lasciarle passare.
Attenzione: Se usi un browser normale per la navigazione quotidiana, disabilita il proxy dopo il test. Per evitare, usa un browser separato (es. Firefox Portable) dedicato al pentesting.
Comando per avviare Burp da riga (Linux/macOS):
java -jar burpsuite_community.jarErrore comune: Firefox ha impostazioni di proxy separate da quelle di sistema. Imposta localhost:8080 per HTTP e HTTPS, disabilita “Proxy DNS quando si usa SOCKS”.
Sponsored Protocol
Come si usa l’Intruder di Burp Suite per attacchi di brute force e fuzzing?
L’Intruder è il motore di automazione che ti permette di inviare centinaia o migliaia di richieste variando parametri (payload). Serve per testare login, IDOR, injection, directory brute force e molto altro.
Configurare un attacco base
- Intercetta una richiesta di login con parametri
usernameepassword. - Clic destro sulla richiesta > Send to Intruder.
- Nella scheda Positions, seleziona il valore da attaccare (es. il campo password) e clicca Add §.
- Vai in Payloads: carica una wordlist (rockyou.txt, SecLists, ecc.).
- Nella scheda Settings, imposta Redirect handling e Threads (non più di 5 per non fare DoS).
- Clicca Start attack.
Analisi dei risultati: Cerca differenze nella lunghezza della risposta, nel codice di stato, o in eventuali messaggi di errore. Noi spesso filtriamo per Length diversa dal baseline.
Esempio di payload per fuzzing su endpoint REST:
../../etc/passwd
1' OR '1'='1
Attenzione: Non eseguire attacchi su sistemi di cui non hai autorizzazione scritta. Noi di Meteora Web lo ribadiamo sempre: il divario digitale non si colma violando la legge, ma formando professionisti responsabili.
Come si usa il Repeater per test manuali e debug di vulnerabilità?
Il Repeater invia una singola richiesta più volte, permettendoti di modificare a mano i parametri e vedere immediatamente la risposta. È lo strumento ideale per confermare un finding dopo che l’Intruder ha individuato un candidato.
Sponsored Protocol
Flusso di lavoro efficace
- Da Proxy > HTTP history, clicca destra su una richiesta e scegli Send to Repeater.
- Nella scheda Repeater, modifica il payload (es.
id=1' OR '1'='1). - Clicca Send. Confronta la risposta con quella originale.
- Se la risposta contiene un errore SQL o dati anomali, hai conferma.
- Autorize: testa le autorizzazioni di ruoli diversi (admin vs user) in automatico. Fondamentale per IDOR verticali.
- Logger++: registra tutte le richieste in un formato ricercabile. Utile per audit.
- Turbo Intruder: scripta attacchi complessi con Python. Per fuzzing ad alta velocità (attenzione ai rate limit).
- JSON Web Tokens: decodifica e modifica JWT direttamente in Burp.
- ActiveScan++: estende lo scanner con nuovi controlli per vulnerabilità come CSRF, XXE, ecc.
- Vai su Target > Site map, seleziona un dominio.
- Clicca destra > Scan.
- Scegli Scan configuration: usa “Crawl and audit” per un test completo, oppure “Audit selected items” per un sottoinsieme.
- Attenzione agli inserti: abilita “Insertion points” per parametri non standard (JSON, XML, header).
- Avvia lo scan e monitora i risultati in Dashboard > Scan queue.
- Scarica e installa Burp Suite Community dal sito ufficiale.
- Configura il proxy su un browser dedicato e importa il certificato.
- Esegui il primo test: intercetta una richiesta di login e prova a modificare un parametro con Repeater.
- Scarica una wordlist (SecLists di Daniel Miessler) e lancia un attacco con Intruder su un parametro di ricerca.
- Leggi la documentazione ufficiale: Burp Suite Documentation. Inizia dal “Getting Started”.
Scorciatoie: Ctrl+R (Windows/Linux) o Cmd+R (macOS) per inviare rapidamente al Repeater.
Esempio reale: Abbiamo testato un e-commerce che usava un parametro product_id in GET. Con Repeater abbiamo cambiato l’ID in product_id=1001 AND 1=1 e ottenuto dati di prodotti non pubblici. Se non avessimo usato Burp, quei dati sarebbero rimasti esposti.
Quali sono le estensioni indispensabili per Burp Suite?
Burp ha un ecosistema di estensioni (BApp Store) che ne estendono le capacità. Noi ne usiamo quotidianamente alcune per accelerare il lavoro.
Estensioni top
Come installarle: Vai su Extender > BApp Store, cerca e installa. Riavvia Burp dopo l’installazione.
Sponsored Protocol
Come si automatizza il scanning con lo scanner integrato (solo Professional)?
Burp Professional include uno scanner che automatizza il crawling e il testing di molte vulnerabilità comuni (SQLi, XSS, SSRF, ecc.). È potente ma va usato con criterio: non è un “tasto magico”.
Configurare uno scan mirato
Lo scanner produce falsi positivi. Ogni finding va verificato manualmente con Repeater o Intruder.
Consiglio da professionisti: Non usare lo scanner su ambienti di produzione senza un rate limit. Abbiamo visto server cadere per troppe richieste concorrenti. Imposta Throttle a 100ms tra le richieste.
Come si usa il Decoder e il Comparer per analisi di dati e differenze?
Il Decoder permette di decodificare/codificare in base64, URL, hex, HTML, ecc. Il Comparer confronta due richieste o risposte per individuare differenze minime (utile per trovare timing attack o differenze in risposte di errore).
Sponsored Protocol
Esempio pratico (Decoder): Hai un token JWT in base64. Incollalo in Decoder, seleziona “Base64 decode”, otteni il payload JSON. Modifica il ruolo da “user” a “admin”, ricodificato in base64, e usa Repeater per rimandare la richiesta. Se il server accetta, bingo: vulnerabilità di firma debole.
Comparer: Dopo un attacco con Intruder, seleziona due risposte simili ma con lunghezza diversa e inviale al Comparer. Ti mostra le righe che differiscono, evidenziando dove il payload ha avuto effetto.
Cosa fare adesso per iniziare con Burp Suite?
Noi di Meteora Web abbiamo inserito Burp Suite nel nostro stack di sicurezza perché permette di coniugare la precisione del contabile (tracciabilità) con la potenza dell’hacker. Il penetration testing non è un optional: è la certificazione che il tuo software non ha buchi. Se vuoi approfondire, leggi la nostra guida pillar sull'Ethical Hacking e Penetration Testing.