Burp Suite ist das Schweizer Taschenmesser fuer Web-Security-Testing. Proxy, Scanner, Repeater, Intruder – Werkzeuge fuer jede Testphase.
Wichtige Werkzeuge¶
- Proxy: Abfangen und Modifizieren von HTTP-Requests
- Scanner: Automatische Schwachstellenerkennung
- Repeater: Manuelles Testen – Wiederholen und Modifizieren von Requests
- Intruder: Automatisierte Angriffe (Brute Force, Fuzzing)
- Decoder: Encoding/Decoding (Base64, URL, HTML)
Workflow¶
- Browser-Proxy einrichten (127.0.0.1:8080)
- Anwendung durchsuchen – Burp kartiert Endpunkte
- Scanner findet automatisch Schwachstellen
- Repeater fuer manuelles Testen
- Intruder fuer Parameter-Fuzzing
Beispiel – IDOR-Test¶
1. Request im Proxy abfangen¶
GET /api/users/123/profile HTTP/2 Authorization: Bearer eyJ…
2. An Repeater senden¶
3. ID aendern: /api/users/456/profile¶
4. Bei Antwort 200 → IDOR-Schwachstelle!¶
Wichtigste Erkenntnis¶
Burp Suite Community Edition ist kostenlos. Proxy + Repeater sind Ihre Hauptwerkzeuge. Fuer Automatisierung den Scanner (Pro-Version) nutzen.
securityburp suitewebtesting