Burp Suite چیست؟
با Burp Suite کارهای خفن بکن
🕷️ مقاله کامل و صمیمی درباره Burp Suite – از صفر تا شکار اولین باگ!
اگر وارد دنیای تست نفوذ و امنیت وب شده باشی، احتمالاً اسم «Burp Suite» به گوشت خورده. همون ابزار خفنی که همه هکرهای کلاهسفید عاشقشن و هکرهای کلاهسیاه هم آرزو دارن یه روز به دندون بگیرنش! اما اگر تا امروز Burp Suite رو فقط از دور دیدی و فکر میکردی کار باهاش مثل خلبانی هواپیمای جنگندهست، نترس! اینجا میخوایم خیلی شیک و صمیمی و با کمی نمک (!) همه چیز رو برات توضیح بدیم.
🎯 Burp Suite چیست؟
Burp Suite یکی از حرفهایترین و محبوبترین ابزارهای تست نفوذ وب هست؛ یعنی همون برنامهای که میتونی باهاش ترافیک بین مرورگر و سرور رو تحتنظر بگیری، دستکاری کنی، باگ پیدا کنی و کلاً تبدیل بشی به یک شکارچی حشرهی دیجیتالی (Bug Hunter) واقعی!
این نرمافزار مجموعهای از ابزارهای مختلف داره که هرکدوم برای یک کار خاص طراحی شدن. پس نگران پیچیدگیاش نباش؛ هر ابزار Burp مثل یک سرباز وظیفهشناس بهت خدمت میکنه.
🧩 ابزارهای اصلی Burp Suite
🔶 ۱. Burp Proxy
قلب تپنده Burp همین بخشه. Burp Proxy بین مرورگر و سرور قرار میگیره و تمام درخواستها و پاسخها رو نشونت میده.
این یعنی چی؟
یعنی میتونی وسط راه درخواست رو بگیری، روش دستکاری کنی، ادیت بزنی، یه مقدار شیطونی بکنی و بفرستیش سمت سرور!
🔶 ۲. Burp Scanner
اینجا جاییه که Burp نقش آدمفضایی رو بازی میکنه!
یه اسکن خودکار میزنه و کلی آسیبپذیری پیدا میکنه؛ از XSS بگیر تا مشکلات لاگین و ستونگذاری اشتباه دیتابیس.
توجه: اسکنر تو نسخه Professional فعاله، تو نسخه Community فقط نگاه میکنه، کمک نمیکنه! 😄
🔶 ۳. Burp Intruder
اوه اوه! این همون بخشیه که میتونه حملات Brute Force و انواع تست تزریق رو انجام بده.
میتونی بهش بگی:
«برو این ورودی رو با هزار تا ورودی دیگه تست کن ببین چی میشه!»
و Intruder هم مثل یه ارتش دیجیتالی به فرمانت گوش میده.
🔶 ۴. Burp Repeater
اینجا با آرامش و صبر میتونی یک درخواست رو بارها و بارها بفرستی و نتیجهش رو ببینی.
مفیده وقتی میخوای دقیق بفهمی سرور به یک ورودی چه واکنشی نشون میده.
🔶 ۵. Burp Decoder
اگر با دادههای رمزگذاریشده مثل Base64، URL-encode، Hex و… سروکار داری، Decoder ناجیت میشه!
فقط داده رو بنداز داخلش، خودش بازش میکنه. بدون غر زدن.
🔶 ۶. Burp Extender
اگر Burp Suite رو با تمام قدرتش هم استفاده کردی و باز کم آوردی، Extender میتونه افزونههای جدید رو به برنامه اضافه کنه.
یعنی Burp Suite حتی قابلیت بدنسازی هم داره!
💰 نسخههای Burp Suite
Burp Suite دو نسخه داره:
✔️ Community
رایگان — خوشرفتار اما محدود.
برای شروع خوبه.
✔️ Professional
پولی — کامل، قوی و مجهز به ابزارهای حرفهای.
اگر قصد کار جدی داری، ارزشش رو داره.
🛠️ آموزش نصب و راهاندازی Burp Suite
۱. دانلود Burp
به سایت PortSwigger برو و نسخه Community یا Professional رو دانلود کن.
۲. اجرای برنامه
بعد از نصب، Burp رو باز کن و گزینههای زیر رو میبینی:
Temporary Project – برای زمانی که کاری نداری ذخیره کنی
New Project – برای پروژههای جدیتر با تنظیمات اختصاصی
یکی رو انتخاب کن و جلو برو.
🌐 پیکربندی مرورگر برای Burp Proxy
برای اینکه Burp بتونه ترافیک رو ببینه، باید مرورگر رو تنظیم کنی که از Burp بهعنوان پروکسی استفاده کنه.
مراحل:
در Burp → تب Proxy → بخش Options
پورت پیشفرض: ۸۰۸۰تنظیمات مرورگر (Chrome یا Firefox)
پروکسی رو دستی تنظیم کن روی:
۱۲۷.۰.۰.۱:۸۰۰۰
نصب گواهی SSL
برای دیدن ترافیک HTTPS باید گواهی Burp رو نصب کنی.
روش سریع:
Burp → Proxy → Intercept
گزینه Open Browser
باز کردن آدرس:
http://burp
۴. دانلود و نصب گواهی.
🔍 شروع تحلیل ترافیک با Burp Suite
✳ ۱. فعال کردن Intercept
وقتی Intercept روشنه، هر درخواست مثل مسافر قبل از خروج از مرز جلوت میایسته تا تأییدش کنی.
✳ ۲. بررسی درخواستها
محتوای درخواست، هدرها، پارامترها و هرچی داخلشه رو میتونی کامل ببینی.
🧪 استفاده از ابزارهای حرفهای Burp
✔ Burp Scanner
درخواست رو انتخاب کن → Scan
Burp خودش میره دنبال مشکل!
✔ Burp Intruder
برای Brute Force، تزریق، تست ورودیها و حملات خودکار.
✔ Burp Repeater
یک درخواست رو چندبار با ورودیهای مختلف تست کن.
✔ Burp Decoder
برای رمزگشایی دادهها.
🎉 جمعبندی صمیمانه
Burp Suite از اون ابزارهاییه که اولش شاید بترسونه، ولی وقتی باهاش رفیق شدی تازه میفهمی چقدر دنیات رو راحتتر میکنه.
از تست ساده ورودیها گرفته تا پیدا کردن باگهای جدی امنیتی… Burp همیشه در خدمته!
اگر امروز شروع کنی، شاید فردا اولین باگت رو شکار کنی و اولین گزارش امنیتی حرفهایات رو بدی!