Tutorial do Burp Suite: Guia do iniciante para testes de segurança web (2026)

O que é o Burp Suite e por que aprendê-lo?

O Burp Suite é uma plataforma integrada para testes de segurança de aplicações web desenvolvida pela PortSwigger. Pense nele como um canivete suíço para segurança web: ele combina múltiplas ferramentas em uma interface, permitindo que você intercepte tráfego, escaneie vulnerabilidades e crie ataques personalizados contra aplicações web.

A plataforma vem em três versões. A Community Edition é gratuita e inclui o proxy principal, Repeater, Intruder (com limitação de taxa) e Decoder. A Professional Edition adiciona um scanner de vulnerabilidades automatizado, ataques Intruder mais rápidos e recursos adicionais por cerca de $449 por ano. A Enterprise Edition tem como alvo organizações executando varreduras automatizadas em grande escala.

Para aprendizado e a maioria dos trabalhos de teste manual, a Community Edition fornece tudo o que você precisa. Testadores profissionais normalmente fazem upgrade para o scanner e velocidades Intruder sem restrições durante engajamentos com clientes.

Quem usa o Burp Suite?

• Testadores de penetração: Usam durante avaliações de aplicações web para encontrar e explorar vulnerabilidades
• Caçadores de bugs: Confiam nele para descobrir falhas de segurança em programas de empresas como Google, Microsoft e milhares de outras
• Pesquisadores de segurança: Analisam comportamento de aplicações e desenvolvem provas de conceito de exploits
• Desenvolvedores: Testam suas próprias aplicações para problemas de segurança antes da implantação

Se você quer encontrar vulnerabilidades em aplicações web, o Burp Suite é onde você começa. Nosso curso de Web Attacks cobre as classes de vulnerabilidades que você estará caçando uma vez que dominar as ferramentas.

Tutorial do Burp Suite: Instalando e configurando seu ambiente

Fazer o Burp Suite funcionar requer alguns passos de configuração. O proxy precisa interceptar seu tráfego de navegador, o que significa instalar um certificado e configurar as configurações de proxy. Aqui está o processo completo de configuração.

Baixando o Burp Suite

Se você está executando Kali Linux, o Burp Suite Community Edition vem pré-instalado. Inicie-o no menu de aplicações em "Web Application Analysis" ou digite burpsuite no seu terminal.

Para Windows ou macOS, baixe o instalador da página oficial de download da PortSwigger. Execute o instalador e siga as instruções. O Burp Suite requer Java, mas o instalador vem com seu próprio JRE, então você não precisa instalar Java separadamente.

Configuração do primeiro lançamento

Quando você abrir o Burp Suite pela primeira vez, verá uma tela de seleção de projeto. Para a Community Edition, escolha "Temporary project" já que projetos persistentes requerem a versão Professional. Clique em "Next", depois selecione "Use Burp defaults" para as opções de configuração. Clique em "Start Burp" para iniciar a interface principal.

Configurando seu navegador com FoxyProxy

O Burp Suite atua como um servidor proxy ao qual seu navegador se conecta. A maneira mais fácil de gerenciar isso é com a extensão de navegador FoxyProxy, que permite alternar configurações de proxy com um clique.

1. Instale o FoxyProxy para Firefox ou Chrome na loja de extensões do seu navegador
2. Clique no ícone FoxyProxy e selecione "Options"
3. Clique em "Add" para criar uma nova configuração de proxy
4. Defina o IP do proxy como 127.0.0.1 e a porta como 8080
5. Nomeie como "Burp Suite" e salve
6. Clique no ícone FoxyProxy e selecione seu novo perfil Burp Suite para habilitá-lo

Instalando o certificado CA do Burp

Sites modernos usam criptografia HTTPS. Para o Burp Suite interceptar esse tráfego, seu navegador precisa confiar na autoridade de certificação do Burp. Sem este passo, você verá erros de certificado em cada site HTTPS.

1. Com o Burp rodando e o FoxyProxy habilitado, navegue para http://burpsuite no seu navegador
2. Clique em "CA Certificate" no canto superior direito para baixar o certificado
3. No Firefox: Vá para Configurações, pesquise "Certificates", clique em "View Certificates", selecione a aba Authorities e importe o certificado baixado. Marque "Trust this CA to identify websites."
4. No Chrome: Vá para Configurações, pesquise "Certificates", clique em "Manage certificates", vá para a aba Authorities e importe o certificado

Problemas comuns de configuração

Se você não consegue se conectar a sites após habilitar o proxy, verifique se o Burp Suite está realmente rodando e se a aba Proxy mostra "Intercept is on" ou "Intercept is off" (ambos os estados permitem tráfego, apenas com comportamentos diferentes). Verifique se o FoxyProxy está configurado para seu perfil Burp, não "Direct" ou outro proxy.

Erros de certificado após instalar o certificado CA geralmente significam que o certificado não foi importado no armazenamento correto. No Firefox, certifique-se de tê-lo importado em "Authorities", não "Your Certificates". Reinicie seu navegador após importar.

Entendendo a interface do Burp Suite

O Burp Suite organiza suas ferramentas em abas no topo da janela. Cada aba fornece funcionalidades diferentes, e entender o layout ajuda você a trabalhar eficientemente.

Dashboard

O Dashboard mostra tarefas em execução e atividade de problemas. Na Professional Edition, isso exibe progresso e descobertas de varredura de vulnerabilidades. Para usuários da Community Edition, ele exibe principalmente logs de eventos e status de tarefas.

Target

A aba Target mantém um mapa do site de todas as URLs que você visitou ou que o Burp descobriu. Ela organiza o conteúdo hierarquicamente por host, mostrando diretórios, arquivos e suas respostas HTTP. Use a sub-aba Scope para definir quais hosts você está testando, o que mantém seu trabalho focado e evita testar acidentalmente sistemas fora do escopo.

Proxy

É aqui que a maior parte do seu trabalho acontece. A aba Proxy contém o histórico HTTP mostrando cada requisição que seu navegador faz, o histórico WebSocket para comunicações em tempo real, e a funcionalidade de interceptação para capturar requisições antes que alcancem o servidor.

Abas de ferramentas principais

• Repeater: Modifique e reenvie manualmente requisições individuais, essencial para testar parâmetros específicos
• Intruder: Automatize ataques inserindo payloads em parâmetros de requisição, útil para fuzzing e força bruta
• Decoder: Codifique e decodifique dados em vários formatos como Base64, codificação URL e entidades HTML
• Comparer: Diferencie duas respostas para detectar diferenças sutis que indicam vulnerabilidades

Como interceptar e modificar tráfego HTTP

Interceptar tráfego é a habilidade principal em testes de segurança web. Ela permite que você veja exatamente o que seu navegador envia e o que o servidor retorna, depois modifique qualquer lado para testar como a aplicação lida com entrada inesperada.

Entendendo requisições e respostas HTTP

Antes de mergulhar na interceptação, entenda o que você está olhando. Uma requisição HTTP contém um método (GET, POST, PUT, DELETE), um caminho, cabeçalhos com metadados como cookies e tipos de conteúdo, e opcionalmente um corpo com dados de formulário ou JSON. A resposta inclui um código de status (200 OK, 404 Not Found, 500 Server Error), cabeçalhos e o corpo contendo HTML, JSON ou outro conteúdo.

Habilitando e usando a interceptação

Navegue até a aba Proxy e clique em "Intercept is off" para ativá-lo. Agora quando você navega em um site com o FoxyProxy habilitado, cada requisição pausa no Burp Suite antes de alcançar o servidor. Você verá a requisição HTTP bruta na janela de interceptação.

A partir daqui você tem várias opções:

• Forward: Envie a requisição ao servidor como está ou após suas modificações
• Drop: Descarte a requisição inteiramente, impedindo que alcance o servidor
• Action: Envie a requisição para outras ferramentas como Repeater ou Intruder

Modificando requisições

Com uma requisição interceptada, você pode editar qualquer parte dela diretamente na janela. Mude valores de parâmetros, modifique cabeçalhos ou altere o corpo da requisição. Clique em Forward para enviar sua requisição modificada ao servidor.

Por exemplo, se uma requisição inclui quantity=1 em um carrinho de compras, você pode mudá-la para quantity=-1 ou quantity=999999 para testar como a aplicação lida com valores inesperados. Este tipo de teste revela falhas de validação de entrada que atacantes exploram.

Pratique essas técnicas com segurança em nosso XSS Playground onde você pode experimentar sem risco.

Trabalhando com o histórico HTTP

Cada requisição passando pelo proxy aparece no histórico HTTP, independentemente de a interceptação estar habilitada. Este log se torna sua referência durante os testes. Clique com o botão direito em qualquer requisição para enviá-la ao Repeater, Intruder ou outras ferramentas. Use a barra de filtro para mostrar apenas requisições a hosts específicos ou contendo certos parâmetros.

Usando o Burp Repeater para testes manuais

O Repeater é onde você passa a maior parte do seu tempo durante testes manuais. Ele permite que você modifique uma requisição, envie, visualize a resposta, depois ajuste e repita. Este ciclo de hipótese, teste e observação é como você descobre vulnerabilidades.

Enviando requisições ao Repeater

Encontre uma requisição interessante no seu histórico HTTP ou janela de interceptação. Clique com o botão direito e selecione "Send to Repeater" ou pressione Ctrl+Shift+R. Mude para a aba Repeater para ver sua requisição pronta para modificação.

O fluxo de trabalho do Repeater

A interface do Repeater mostra sua requisição à esquerda e a resposta do servidor à direita. Edite a requisição, clique em "Send" e analise o que volta. Cada modificação cria uma aba numerada, permitindo que você compare respostas através de múltiplos testes.

Comece entendendo o comportamento normal. Envie a requisição original inalterada e note a resposta. Então modifique sistematicamente os parâmetros para testar vulnerabilidades:

• Adicione uma aspa simples para testar injeção SQL: id=1'
• Insira tags script para testar XSS: name=<script>alert(1)</script>
• Mude IDs numéricos para acessar dados de outros usuários: user_id=2 em vez de user_id=1
• Remova ou modifique tokens de autenticação para testar controles de acesso

Lendo respostas em busca de pistas

Vulnerabilidades frequentemente se revelam através de diferenças de resposta. Uma injeção SQL pode causar uma mensagem de erro de banco de dados. Uma vulnerabilidade XSS pode refletir sua entrada no HTML. Uma falha de controle de acesso pode retornar dados que você não deveria ver.

Compare comprimentos de resposta, códigos de status e conteúdo. Uma diferença significativa da linha de base frequentemente indica comportamento interessante que vale a pena investigar mais.

Tente testar vulnerabilidades de injeção SQL em nosso laboratório de injeção SQL usando as técnicas que você acabou de aprender.

Introdução ao Burp Intruder

Enquanto o Repeater lida com testes manuais, o Intruder automatiza ataques enviando muitas variações de uma requisição com diferentes payloads. Ele se destaca em tarefas como forçar páginas de login, fazer fuzzing de parâmetros para vulnerabilidades e enumerar valores válidos.

Como o Intruder funciona

Envie uma requisição ao Intruder (clique direito, "Send to Intruder" ou Ctrl+Shift+I). Na aba Positions, o Burp Suite destaca pontos de injeção potenciais com marcadores de seção. Você define quais partes da requisição devem receber payloads e quais payloads usar.

Tipos de ataque explicados

• Sniper: Coloca cada payload em uma posição de cada vez, percorrendo todas as posições. Bom para testar parâmetros individuais.
• Battering Ram: Coloca o mesmo payload em todas as posições simultaneamente. Útil quando o mesmo valor precisa aparecer em múltiplos lugares.
• Pitchfork: Usa múltiplos conjuntos de payload em paralelo, um por posição. Posição 1 recebe conjunto de payload 1, posição 2 recebe conjunto de payload 2, avançando juntos.
• Cluster Bomb: Testa todas as combinações de payloads em todas as posições. Posição 1 recebe cada payload no conjunto 1 combinado com cada payload no conjunto 2 para a posição 2.

Construindo listas de payload

Mude para a aba Payloads para configurar quais valores o Intruder vai injetar. Você pode inserir payloads manualmente, carregá-los de um arquivo ou usar geradores integrados para padrões como números ou variações de caracteres.

Para ataques de força bruta, você pode carregar uma lista de senhas comuns. Para fuzzing, use caracteres especiais e strings de injeção. A PortSwigger fornece listas de payload, e recursos da comunidade como SecLists oferecem coleções extensivas para diferentes cenários de ataque.

Analisando resultados

Após iniciar um ataque, o Intruder exibe resultados em uma tabela mostrando cada requisição, seu payload, código de status, comprimento de resposta e timing. Ordene por comprimento ou código de status para detectar anomalias. Uma resposta significativamente mais longa ou mais curta que outras frequentemente indica injeção bem-sucedida ou um erro que vale a pena investigar.

Teste suas habilidades de Intruder contra nosso laboratório de bypass de autenticação onde você pode praticar ataques de credenciais com segurança.

Considerações legais e éticas

As técnicas neste tutorial são poderosas. Elas podem encontrar vulnerabilidades que protegem milhões de usuários, ou podem levá-lo à prisão se mal utilizadas. A diferença é a autorização.

Quando você pode testar legalmente

• Sistemas que você possui: Seus próprios sites, aplicações e infraestrutura
• Engajamentos autorizados: Testes de penetração com acordos de escopo escritos
• Programas de bug bounty: Empresas que explicitamente convidam testes de segurança, seguindo suas regras
• Laboratórios de prática: Aplicações intencionalmente vulneráveis como DVWA, WebGoat ou laboratórios HackerDNA

Diretrizes de bug bounty

Se você testa em programas de bug bounty, leia as regras cuidadosamente. A maioria dos programas especifica quais domínios estão no escopo, quais tipos de vulnerabilidades eles aceitam e quais métodos de teste são proibidos. Violar regras do programa pode fazer você ser banido ou reportado, mesmo se encontrar vulnerabilidades válidas.

Documente tudo. Capture suas descobertas, note timestamps e mantenha registros de sua metodologia de teste. Isso protege você se surgirem questões sobre suas atividades.

Aprenda mais sobre construir uma prática ética de testes de segurança em nosso curso de Hacking Ético.