Установка и настройка Burp Suite на Linux

Burp Suite — это набор инструментов для анализа безопасности веб-приложений. В основе работы — прокси «man-in-the-middle»: Burp перехватывает HTTP/HTTPS-трафик между браузером и сервером, даёт возможность просматривать, изменять и отправлять повторно запросы и ответы.

Кратко о ключевых компонентах (одно предложение на термин):

• Proxy — перехват и просмотр трафика браузера.
• Scanner — автоматизированное сканирование на уязвимости (в Pro-версии).
• Intruder — инструмент для автоматизированного подбора и fuzzing.
• Repeater — ручная отправка и модификация отдельных запросов.
• Sequencer — анализ энтропии токенов/сессий.
• Extender / BApp Store — расширения сообщества и API для пользовательских модулей.

Важно: всегда тестируйте только те приложения, на которые у вас есть разрешение. Незаконное сканирование чужих сервисов может привести к уголовной ответственности.

Преимущества и ограничения

Преимущества:

• Интегрированный набор инструментов для ручного и автоматизированного тестирования.
• Высокая гибкость через прокси и расширения.

Ограничения:

• Community Edition не содержит всех автоматических сканеров и производительных функций Pro.
• Нужны базовые навыки работы с HTTP и понимание безопасности веб-приложений.

Перед установкой рекомендуем обновить систему и установить базовые зависимости. Ниже — команды для популярных дистрибутивов.

Debian / Ubuntu / производные:

sudo apt update && sudo apt upgrade -y
# При необходимости установить Java:
sudo apt install default-jre -y

Arch Linux:

sudo pacman -Syu
# Установка Java (если потребуется):
sudo pacman -S jre-openjdk

Fedora / RHEL:

sudo dnf upgrade -y
# Установка Java (если потребуется):
sudo dnf install java-11-openjdk -y

Примечание: современные инсталляторы Burp часто содержат встроенный исполняемый runtime, но если инсталлятор жалуется на Java — установите системную JRE, как показано выше.

1. Откройте официальный сайт PortSwigger и перейдите на страницу загрузки Burp Suite. Это официальный источник для Community и Pro версий.

   Ссылка для загрузки на сайте PortSwigger: откройте раздел загрузок и выберите Linux 64-bit.

2. Выберите Burp Suite Community Edition для Linux 64-bit (если вам не нужен платный функционал) и скачайте .sh файл.

3. Откройте терминал и перейдите в папку загрузок:

cd ~/Загрузки
# или
cd ~/Downloads

4. Сделайте скачанный скрипт исполняемым и запустите его:

chmod +x burpsuite_community_linux*.sh
./burpsuite_community_linux*.sh

5. Инсталлятор проведёт вас через стандартные шаги: выбор каталога установки и создание ярлыков. Запомните путь установки — он понадобится для удаления.

6. После завершения вы найдёте приложение в меню приложений или сможете запустить его командой, если установщик добавил ярлык в PATH.

1. При первом запуске откроется окно с лицензионным соглашением и настройками профиля. Выберите профиль «Temporary project» или создайте новый «Project on disk», если хотите сохранять данные.
2. В главном окне перейдите в Proxy → Options. Проверьте, что слушающий интерфейс (Listener) активен по адресу 127.0.0.1:8080 (по умолчанию).
3. Перейдите в Proxy → Intercept и убедитесь, что Intercept is off (выключите) до того, как настроите браузер, если не хотите прерывать поток сразу.

Burp работает с любым браузером, который можно настроить на работу через HTTP/HTTPS прокси. В примере — Mozilla Firefox.

1. Установите расширение FoxyProxy Standard (очень удобно для переключения профилей). Его можно найти в каталоге дополнений Firefox или в Chrome Web Store для Chrome.

   Ссылки: FoxyProxy для Google Chrome и Mozilla Firefox доступны в соответствующих магазинах дополнений.

2. После установки откройте FoxyProxy → Options → Add New Proxy.

   • Name: Burp Suite
   • Proxy IP Address: 127.0.0.1
   • Proxy Port: 8080 (или порт, указанный в Burp)

3. Сохраните профиль и выберите его в меню FoxyProxy, чтобы весь трафик шел через Burp.

4. Альтернатива FoxyProxy: в Firefox можно настроить прокси вручную в Настройки → Общие → Сеть → Настроить соединение вручную. В Chrome — используйте системные настройки или расширения.

Чтобы Burp мог читать и изменять HTTPS-трафик, потребуется установить собственный CA-сертификат Burp в браузер (и, при необходимости, в системное хранилище).

1. В Burp: Proxy → Options → CA Certificate → Export → выберите формат DER или PEM и сохраните файл (например, burp-ca.der).

2. Firefox (рекомендовано отдельно от системного хранилища):

   • Откройте Настройки → Приватность и безопасность → Сертификаты → Просмотреть сертификаты → Импорт.
   • Выберите ранее экспортированный burp-ca.der и отметьте «Доверять этому CA для идентификации веб-сайтов».

3. Системное хранилище (Debian/Ubuntu):

sudo cp burp-ca.pem /usr/local/share/ca-certificates/
sudo update-ca-certificates

Для других дистрибутивов — используйте механизм управления сертификатами вашей системы (например, update-ca-trust на RHEL/Fedora).

4. После установки сертификата перезапустите браузер и убедитесь, что страницы HTTPS загружаются через Burp без ошибок о недоверенном сертификате.

1. Включите в FoxyProxy профиль Burp и активируйте в Burp Proxy → Intercept → Intercept On.
2. Откройте в браузере любую страницу HTTP/HTTPS. В Burp вы увидите запросы в очереди Intercept.
3. Используйте Repeater для редактирования и повторной отправки запроса, Scanner (Pro) для автоматической проверки, Intruder для подбора параметров.

1. Перейдите в каталог установки (указали при инсталляции).
2. Там обычно есть скрипт uninstall.sh. Сделайте его исполняемым и запустите:

cd /opt/burpsuite
chmod +x uninstall.sh
sudo ./uninstall.sh

3. Удалите вручную профиль FoxyProxy и CA-сертификат из браузера/системы, если они больше не нужны.

1. “Браузер не видит прокси” — проверьте, что FoxyProxy активирован и указан правильный порт; убедитесь, что Burp слушает на 127.0.0.1.
2. “Недоверенный сертификат” — установите Burp CA в браузер; для системных приложений добавьте CA в системное хранилище.
3. “Конфликт порта 8080” — проверьте, что другой сервис не использует порт: sudo lsof -i:8080; при необходимости измените порт в Burp Proxy → Options → Edit.
4. “Инсталлятор требует Java” — установите системную JRE (default-jre / openjdk).
5. “Нельзя сканировать сайт — 403 или блокировки” — убедитесь в наличии разрешения на тестирование; рассмотрите настройку пользовательского User-Agent или задержки между запросами.

• Автоматические сканеры CI/CD: если нужна интеграция в пайплайн — рассмотрите SAST/DAST инструменты для автоматизации (например, линтеры, OWASP ZAP как бесплатная альтернатива с API и интеграцией).
• Нагрузочное тестирование: для тестов производительности используйте Gatling или JMeter — Burp не предназначен для масштабного нагрузочного тестирования.
• Мобильные приложения: для перехвата трафика мобильных приложений может потребоваться настройка прокси на устройстве и установка CA-сертификата на устройство или эмулятор.

Мини-методология для ручного тестирования с Burp (шаги):

1. Разрешение и scoping — документально подтвердите права на тестирование.
2. Сбор информации — прокси + просмотр запросов, ремап URL, поиск точек ввода.
3. Наброс атак — XSS/SQLi/LFI, попытки обхода фильтров, проверки авторизации.
4. Приоритизация — определить влияние и вероятность уязвимости.
5. Документация и отчёт — воспроизводимые PoC, скриншоты и шаги для разработчиков.

Эвристики (коротко):

• “Всегда проверяй авторизацию”: попробуйте доступ к защищённым ресурсам без токена/сессионного куки.
• “Меняй только одно поле”: облегчает поиск причины в случае успеха или провала.
• “Малые итерации”: не отправляйте тысячи запросов без необходимости, избегайте DoS на тестируемый сервис.

Для тестировщика безопасности (Security analyst):

• Подготовил/получил разрешение на тестирование.
• Настроил Burp, установил CA, проверил перехват трафика.
• Провёл ручной обзор критических точек (логин, сессии, вводимые данные).
• Создал PoC для каждой уязвимости и оценил риск.

Для разработчика:

• Установил окружение и повторил шаги тестировщика.
• Проанализировал логи и воспроизвел PoC.
• Исправил проблему и сделал автоматический тест/валидатор.

Для QA:

• Запустил регрессионные тесты после исправлений.
• Проверил, не появились ли новые ошибки при фиксе.

• Типичный порт прослушивания Burp: 127.0.0.1:8080
• Основные режимы: Proxy, Repeater, Intruder, Scanner (Pro), Extender
• Community Edition — бесплатная, Pro — платная с расширенным сканером и автоматизацией

Важно:

• Никогда не используйте Burp для тестирования без письменного разрешения.
• Храните эксплойт-код и результаты конфиденциально и передавайте их уполномоченным лицам.

Burp Extender позволяет подключать расширения (BApp Store). Расширения помогают автоматизировать специфичные проверки, парсить ответы и интегрировать Burp в рабочие процессы.

• Burp работает в любых дистрибутивах Linux, где возможен запуск Java-совместимого исполняемого файла.
• При переносе профиля между машинами копируйте проектный файл или экспортируйте настройки через интерфейс.
• В корпоративных сетях обратите внимание на политики прокси и корректную установку системного CA.

1. Перехват: при включенном Intercept браузерные запросы должны попадать в очередь Burp.
2. HTTPS: после установки CA браузер не должен показывать ошибки сертификата при перехвате.
3. Repeater: модифицированные запросы корректно возвращают ответы от сервера.
4. Uninstall: скрипт uninstall.sh удаляет установленные файлы и ярлыки.

• OWASP ZAP — бесплатный DAST-сканер с возможностью скриптинга.
• Nikto — простая проверка веб-серверов на известные уязвимости.
• Nmap — сетевое сканирование и обнаружение сервисов.
• sqlmap — автоматизация поиска и эксплуатации SQL-инъекций.

Burp Suite установлен и настроен для тестирования веб-приложений на Linux. В руководстве описаны шаги установки Community Edition, настройка браузера (Firefox + FoxyProxy), импорт CA-сертификата для перехвата HTTPS и рекомендации по безопасности. Используйте Burp только в рамках утверждённого scope и документируйте все PoC. При проблемах с портами или сертификатами следуйте разделу устранения неполадок.

Burp Suite — универсальный инструмент для ручного и частично автоматизированного тестирования безопасности веб-приложений. Community Edition идеально подходит для изучения и базовой работы, Pro даёт возможности для масштабного сканирования и автоматизации. Всегда следуйте этическим нормам, храните сертификаты и конфигурации в безопасном месте, и интегрируйте результаты в жизненный цикл разработки.

Полезные ссылки и ресурсы

• Официальный сайт PortSwigger: раздел загрузки Burp Suite.
• FoxyProxy — расширение для удобного переключения прокси в браузере.
• Документация OWASP — общие принципы тестирования веб-приложений.

Краткое резюме

Burp Suite позволяет увидеть и контролировать HTTP/HTTPS-трафик, выявлять уязвимости и формировать воспроизводимый PoC. Правильная установка и конфигурация браузера, а также корректная работа с сертификатами — ключевые шаги для успешного тестирования.