Configurando seu ambiente
Construindo uma estação de trabalho profissional de bug hunting
O que você vai descobrir
🎯 Por que isso importa
Suas ferramentas são suas armas. Um ambiente corretamente configurado permite que você se concentre na caça em vez de lutar com problemas de configuração. Mais importante, entender por que essas ferramentas funcionam do jeito que funcionam fará de você um caçador mais eficaz. Configure corretamente uma vez e se beneficie para sempre.
🔍 O que você vai aprender
- Como proxies web funcionam e por que são essenciais para testes de segurança
- Instalação e configuração do Burp Suite Community/Pro
- Configuração de proxy do navegador com FoxyProxy
- Extensões essenciais e quando usar cada uma
- Sistemas de anotações que escalam conforme você cresce
- Instalação de ferramentas de recon com dicas de troubleshooting
🚀 Sua primeira vitória
Em cerca de 30 minutos, você terá um ambiente de bug hunting totalmente configurado pronto para seu primeiro alvo - e entenderá exatamente o que cada componente faz.
🔧 Tente isso agora
Instale o Burp Suite e configure seu navegador para rotear tráfego através dele:
# PASSO 1: Baixe o Burp Suite Community Edition (gratuito)
# Visite: https://portswigger.net/burp/communitydownload
# Escolha seu OS (Windows/Mac/Linux) e instale
# PASSO 2: Inicie o Burp Suite
# - Aceite o contrato de licença
# - Selecione "Temporary project" (bom para aprendizado)
# - Use configuração "Burp defaults"
# - Clique "Start Burp"
# PASSO 3: Verifique se o proxy está rodando
# Vá para: Aba Proxy → Proxy settings
# Você deve ver: 127.0.0.1:8080 (Running)
# Isso significa que o Burp está escutando no seu computador (127.0.0.1)
# na porta 8080, pronto para receber tráfego web
# PASSO 4: Instale a extensão FoxyProxy
# Firefox: https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/
# Chrome: https://chrome.google.com/webstore/detail/foxyproxy-standard/
# PASSO 5: Configure o FoxyProxy para enviar tráfego ao Burp
# Clique no ícone FoxyProxy → Options → Add
# Title: Burp Suite
# Type: HTTP
# Hostname: 127.0.0.1
# Port: 8080
# Salve, então clique no ícone FoxyProxy e selecione "Burp Suite"
# PASSO 6: Instale o certificado CA do Burp (para sites HTTPS)
# Com FoxyProxy ativado, visite: http://burpsuite
# Clique "CA Certificate" para baixar
# Importe no armazenamento de certificados do seu navegador (veja passos detalhados abaixo)Indicador de sucesso: Visite qualquer site. Na aba Proxy → HTTP History do Burp, você verá cada requisição que seu navegador faz. Parabéns - você agora pode ver o que seu navegador está realmente fazendo!
Habilidades que você vai dominar
Configuração de proxy
Configurar e resolver problemas de proxies web para interceptar tráfego
Gerenciamento de certificados
Entender e instalar certificados CA para interceptação HTTPS
Segurança do navegador
Configurar perfis de navegador dedicados para testes de segurança
Organização de ferramentas
Construir um sistema escalável para notas, descobertas e relatórios
Entendendo proxies web
O que é um proxy e por que você precisa de um?
Pense em um proxy web como um classificador de correio em uma agência postal. Normalmente, quando você visita um site, seu navegador envia requisições diretamente ao servidor e recebe respostas de volta. Com um proxy no meio, cada "carta" (requisição HTTP) passa primeiro pelo classificador.
Isso te dá superpoderes:
- Ver tudo: Visualizar os dados exatos sendo enviados e recebidos
- Pausar e inspecionar: Parar uma requisição em pleno voo para examiná-la
- Modificar em tempo real: Mudar valores antes que cheguem ao servidor
- Replay de requisições: Enviar a mesma requisição novamente com modificações
Sem um proxy, você está caçando às cegas. Com um, você pode ver exatamente quais dados a aplicação está enviando - incluindo campos de formulário ocultos, chamadas de API, tokens de autenticação e mais.
Por que certificados CA importam
Sites modernos usam HTTPS (o ícone de cadeado), que criptografa o tráfego entre seu navegador e o servidor. Essa criptografia é ótima para segurança mas cria um problema: se o tráfego é criptografado, como seu proxy pode lê-lo?
A solução: Burp Suite cria sua própria Autoridade Certificadora (CA). Quando você instala o certificado CA do Burp no seu navegador, você está dizendo ao navegador: "Confio no Burp para criar certificados para qualquer site." Isso permite ao Burp:
- Receber sua requisição criptografada
- Descriptografá-la usando seu certificado
- Mostrar o conteúdo para você
- Re-criptografar e enviar ao servidor real
Importante: Instale o certificado CA do Burp apenas em um perfil de navegador dedicado a testes. Nunca instale no sistema todo ou no seu navegador diário - isso te tornaria vulnerável a qualquer atacante que obtenha o certificado do Burp.
Ferramentas essenciais
"Uma boa configuração significa menos atrito entre encontrar um bug e reportá-lo."
Burp Suite em profundidade
Burp Suite é o padrão da indústria para testes de segurança de aplicações web. Aqui está o que cada componente principal faz:
# ABAS DO BURP SUITE EXPLICADAS
Proxy
├── Intercept → Pausar requisições em voo, modificá-las, então encaminhar
├── HTTP History → Ver cada requisição/resposta que passou
└── WebSockets → Monitorar conexões WebSocket em tempo real
Repeater
└── Enviar uma requisição manualmente, modificá-la, enviar de novo
Perfeito para testar "o que acontece se eu mudar este valor?"
Intruder
└── Testes automatizados - enviar a mesma requisição muitas vezes
com valores diferentes (fuzzing). Edição Community tem rate limit.
Target
├── Site map → Visualização em árvore de todas as páginas/endpoints descobertos
└── Scope → Definir o que está no escopo dos seus testes
Decoder
└── Converter dados entre formatos (Base64, URL encoding, etc.)
Essencial para entender parâmetros codificados
# CONFIGURAÇÕES ESSENCIAIS
# 1. Adicione seu alvo ao escopo (previne testar acidentalmente outros sites)
Target → Scope → Add → Entre o domínio alvo
# 2. Mostrar campos de formulário ocultos (desenvolvedores às vezes escondem dados sensíveis)
Proxy → Options → Response Modification → Marque "Unhide hidden form fields"
# 3. Aumentar tamanho da fonte para legibilidade (opcional mas útil)
User options → Display → HTTP Message Display → Font size
# EXTENSÕES RECOMENDADAS (BApp Store → Install)
Autorize → Testar automaticamente problemas de autorização (IDOR)
Param Miner → Descobrir parâmetros ocultos que a app aceita
Logger++ → Logging aprimorado com capacidades de filtro
JSON Beautifier → Tornar respostas JSON legíveisExtensões de navegador
Essas extensões ajudam você a entender e interagir com aplicações web:
# EXTENSÕES ESSENCIAIS
FoxyProxy Standard
├── O que faz: Alternar rapidamente entre configurações de proxy
├── Por que você precisa: Ligar/desligar Burp facilmente sem mudar configurações
└── Dica pro: Crie perfis para "Burp", "Direct" e "Outras ferramentas"
Wappalyzer
├── O que faz: Identifica tecnologias usadas por sites
├── Por que você precisa: Saber se o alvo usa React, WordPress, etc.
└── Dica pro: Escolhas de tecnologia revelam classes potenciais de vulnerabilidade
Cookie-Editor
├── O que faz: Ver, editar e deletar cookies
├── Por que você precisa: Testar gerenciamento de sessão, modificar cookies de auth
└── Dica pro: Tente copiar cookies entre perfis de navegador
User-Agent Switcher
├── O que faz: Muda a string de identificação do seu navegador
├── Por que você precisa: Algumas apps servem conteúdo diferente para mobile vs desktop
└── Dica pro: Teste com user agents mobile comuns
# FERRAMENTAS DE DESENVOLVEDOR (para apps JavaScript modernas)
React DevTools → Inspecionar estado e props de componentes React
Vue DevTools → Mesmo para aplicações Vue.js
Redux DevTools → Ver mudanças de estado da aplicação em tempo real
# IMPORTANTE: Crie um perfil de navegador dedicado à caça
# Firefox: about:profiles → Create a New Profile → "BugBounty"
# Chrome: Configurações → Você e o Google → Adicionar pessoa → "BugBounty"
# Isso mantém seus testes separados da navegação pessoalFerramentas de linha de comando
Essas ferramentas automatizam tarefas de reconnaissance. Elas requerem Go instalado primeiro.
Pré-requisitos: Instalando Go
Go (Golang) é uma linguagem de programação. Muitas ferramentas de segurança são escritas em Go porque compila para um binário único que funciona em qualquer lugar. Instale primeiro:
# PASSO 1: INSTALAR GO
# Baixe de: https://golang.org/dl/
# Siga as instruções de instalação para seu OS
# Verifique a instalação:
go version
# Saída esperada: go version go1.21.0 (ou similar)
# Se "command not found", adicione Go ao seu PATH:
# Linux/Mac: Adicione ao ~/.bashrc ou ~/.zshrc:
export PATH=$PATH:/usr/local/go/bin
export PATH=$PATH:$(go env GOPATH)/bin
# Windows: Adicione C:\Go\bin ao seu System PATH
# PASSO 2: INSTALAR FERRAMENTAS DE SEGURANÇA
# Subfinder - encontra subdomínios usando fontes públicas
go install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest
# O que faz: Consulta logs de certificados, bancos de dados DNS, motores de busca
# para encontrar subdomínios sem tocar o alvo diretamente
# Teste: subfinder -d example.com
# Httpx - sonda hosts para encontrar servidores web ativos
go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest
# O que faz: Pega uma lista de hosts, verifica quais respondem
# e coleta info (título, código de status, tecnologias)
# Teste: echo "example.com" | httpx
# Waybackurls - encontra URLs históricos do archive.org
go install -v github.com/tomnomnom/waybackurls@latest
# O que faz: Consulta a Wayback Machine por URLs
# que foram crawleados anteriormente - encontra endpoints esquecidos
# Teste: waybackurls example.com
# Ffuf - fuzzer web rápido
go install -v github.com/ffuf/ffuf/v2@latest
# O que faz: Brute-force de diretórios, parâmetros, subdomínios
# Teste: ffuf -u https://example.com/FUZZ -w wordlist.txt
# TROUBLESHOOTING
# "command not found" após instalação?
# As ferramentas estão em $(go env GOPATH)/bin
# Adicione isso ao seu PATH (veja acima)
# "go: command not found"?
# Go não está instalado ou não está no PATH
# Reinicie seu terminal após a instalação
# Downloads lentos?
# Use um VPN ou tente: go env -w GOPROXY=https://proxy.golang.org,directSistemas de organização
Conforme você testa mais alvos, você rapidamente acumula dados. Um bom sistema de organização previne que você perca descobertas e ajuda a identificar padrões entre alvos.
Estrutura de anotações
# ESTRUTURA DE PASTAS RECOMENDADA
~/bugbounty/
├── targets/ # Uma pasta por programa que você está testando
│ ├── company-name/
│ │ ├── scope.md # Cópia do escopo e regras do programa
│ │ ├── recon/ # Dados de reconnaissance
│ │ │ ├── subdomains.txt # Subdomínios encontrados
│ │ │ ├── live-hosts.txt # Servidores respondendo
│ │ │ └── endpoints.txt # URLs/APIs descobertos
│ │ ├── notes.md # Suas notas de teste
│ │ ├── screenshots/ # Evidências para relatórios
│ │ └── reports/ # Relatórios submetidos
│ │ ├── report-001-xss.md
│ │ └── report-002-idor.md
│
├── wordlists/ # Wordlists customizadas e baixadas
│ ├── directories.txt
│ ├── parameters.txt
│ └── subdomains.txt
│
├── scripts/ # Seus scripts de automação
│ └── recon.sh
│
└── templates/ # Templates reutilizáveis
└── report-template.md
# O QUE RASTREAR PARA CADA ALVO
## Em scope.md:
- Limites exatos do escopo (copie da página do programa)
- Itens fora do escopo (crítico - não teste esses!)
- Faixas de recompensa por severidade
- Regras específicas do programa
## Em notes.md:
- Tecnologias identificadas (React? Django? AWS?)
- Mecanismos de autenticação encontrados
- Endpoints interessantes para revisitar
- Features testadas vs não testadas (checklist)
- Becos sem saída (para não repetir trabalho)
- Ideias para testes futuros
# RECOMENDAÇÕES DE FERRAMENTAS
Obsidian (gratuito) → Arquivos markdown locais, ótimos links entre notas
Notion (tier gratuito)→ Cloud, bom para colaboração
Cherry Tree → Notas hierárquicas, popular na comunidade de segurança
Arquivos texto → Simples, portáveis, funcionam em qualquer lugarPor que a configuração importa: exemplos reais
🏆 O bug encontrado por causa de boa configuração
Um caçador notou algo estranho no HTTP History do Burp: uma requisição para um endpoint de API que não era visível em lugar nenhum na interface da aplicação. O JavaScript do frontend estava fazendo uma chamada para /api/internal/users que retornava dados de nível admin. Esse endpoint estava escondido - nenhum link apontava para ele - mas o Burp capturou automaticamente. O caçador ganhou $3.500 por um bug de divulgação de informação que nunca teria encontrado sem interceptar o tráfego.
💸 O bug perdido por causa de configuração ruim
Um pesquisador estava testando uma aplicação bancária mas não tinha configurado corretamente seu certificado CA. Conexões HTTPS falhavam, então ele só testou endpoints HTTP. Um mês depois, outro caçador reportou um bypass de autenticação em um painel admin HTTPS-only - uma recompensa de $10.000. O primeiro pesquisador tinha todas as habilidades para encontrá-lo, mas sua configuração o impediu de sequer ver o endpoint vulnerável.
💡 A lição
Investir tempo na sua configuração não é opcional - é fundamental. Cada minuto gasto configurando ferramentas corretamente paga dividendos em cada programa que você testa. Os melhores caçadores têm ambientes nos quais podem confiar completamente, para poder focar no que importa: encontrar vulnerabilidades.
Perguntas frequentes
Preciso do Burp Suite Pro?
A edição Community lida com tudo que você precisa para aprender e encontrar bugs. Pro ($475/ano) adiciona scan automatizado, velocidade ilimitada do Intruder e salvamento de projetos. A maioria dos caçadores começa com Community e faz upgrade quando bug bounty se torna lucrativo - pense no Pro como um investimento que se paga com uma boa descoberta. Para aprender, Community é perfeito.
Mac, Windows ou Linux?
Todos funcionam bem. Linux é popular porque a maioria das ferramentas de segurança de linha de comando são feitas para ele. macOS funciona muito bem - é baseado em Unix, então a maioria das ferramentas funciona nativamente. Windows funciona bem com Windows Subsystem for Linux (WSL) para ferramentas CLI. Use o que você está confortável - você pode mudar depois. As habilidades se transferem entre todas as plataformas.
Como aprender Burp Suite rapidamente?
A melhor forma é prática hands-on. Os labs HackerDNA ensinam Burp Suite através de desafios práticos. Comece interceptando requisições em qualquer site, modifique um parâmetro e veja o que acontece. A documentação integrada (Help → Burp Suite Documentation) é abrangente e vale a leitura. Em uma semana de uso diário, a interface se torna segunda natureza.
Meu proxy não está funcionando. O que verificar?
Problemas mais comuns:
1. FoxyProxy não ativado (clique no ícone, selecione seu perfil Burp)
2. Burp não rodando ou listener do proxy não iniciado (verifique Proxy → Proxy settings)
3. Conflito de porta - outro app usando 8080 (mude o Burp para outra porta como 8081)
4. HTTPS não funciona - certificado CA não instalado (veja seção Entendendo acima)
5. Intercept está ligado - requisições pausadas esperando você (desligue intercept ou clique Forward)
Devo usar VPN ou máquina virtual?
VPN: Útil para privacidade e evitar limites de rate baseados em IP, mas não obrigatório. Alguns programas têm regras sobre uso de VPN - verifique a política deles.
Máquina Virtual: Excelente prática para isolar seu ambiente de caça. Mantém testes separados do seu sistema pessoal. Uma VM Linux é uma escolha comum para testes dedicados. Não obrigatório para começar, mas um bom hábito conforme você progride.
🎯 Seu ambiente está pronto!
Você agora tem uma configuração profissional de bug hunting e entende por que cada componente importa. Burp Suite configurado para interceptar tráfego, navegador pronto com extensões úteis, ferramentas de linha de comando instaladas e um sistema de organização para rastrear seu trabalho.
Pronto para aprender técnicas de reconnaissance →