Burp Suite do Zero: Primeiros Passos em Web Pentesting
Aprenda a usar o Burp Suite, a ferramenta essencial para testes de segurança em aplicações web. Este guia aborda a instalação, configuração de proxy, análise de requisições e exploração de vulnerabilidades como IDOR e brute force.
MundiX News·20 de maio de 2026·10 min de leitura·👁 8 views
Burp Suite do Zero: Primeiros Passos em Web Pentesting
O Burp Suite é a ferramenta fundamental para quem trabalha com segurança web. Dominá-lo é, por assim dizer, dominar os fundamentos dos ataques a servidores web. Neste guia, você aprenderá como os pentesters modificam requisições para contornar a autenticação, realizar brute force em senhas e encontrar outras vulnerabilidades usando o Burp.
Instalação
Baixe o Burp Suite no site oficial da PortSwigger. Existem duas versões principais do programa: Community e Professional. A Community é gratuita e vem embutida em todos os sistemas operacionais de pentesting. Suas capacidades são limitadas: por exemplo, não há Collaborator, o Intruder funciona em um único fluxo e não em todos os modos, não há suporte a projetos, ou seja, não é possível salvar o trabalho em um único arquivo.
A versão Professional é paga, funciona sem restrições e custa $499 por ano. Há uma opção de obter uma avaliação de 30 dias, mas é necessário um endereço de e-mail corporativo. Você pode tentar um provedor de e-mail menos conhecido, mas há uma chance de recusa. Ou você pode se preocupar: comprar um domínio barato e adicionar qualquer landing page em um idioma estrangeiro, imitando uma pequena empresa (no entanto, mesmo apenas qualquer domínio barato provavelmente será suficiente).
Você também precisará de uma descrição textual do que exatamente você deseja testar no período de avaliação. Escreva algo sobre testar todos os recursos do programa para entender se vale a pena adquiri-lo ou usar as ferramentas que você está acostumado. Ou sobre o fato de que você deseja se preparar para a certificação Burp Suite Certified Practitioner.
Informação: Leia sobre como passar neste exame no artigo "Burp Certified Practitioner. Como eu passei no novo exame dos criadores do Burp".
Vamos presumir que você já tenha obtido uma avaliação. Não vou falar sobre outras maneiras de obter a versão completa, mas, se essa for sua opção, verifique se há vírus (a ameaça é bem real).
Para os testes, usaremos uma aplicação vulnerável especial, a OWASP Juice Shop. Para que funcione, instale o Node.js, de preferência a versão 24. Depois disso, execute os comandos:
No Burp, tudo é construído em torno de requisições e respostas. Sem uma requisição, não há unidade de informação. Há uma requisição - ela pode ser jogada em qualquer ferramenta que interaja de alguma forma com o alvo: Repeater, Intruder, Scanner, uma extensão personalizada.
O essencial no Burp é interceptar requisições/respostas e modificá-las. Existem duas maneiras de interceptar: o navegador Chromium embutido e o proxy.
Navegador Chromium Embutido
Inicie o navegador embutido na aba Proxy. Antes das primeiras requisições, você pode encontrar o botão Open browser na aba Target, após o qual ele desaparecerá.
Na janela do navegador, vá para http://127.0.0.1:3000. À medida que o site carrega, um mapa do site será construído na aba Target, e na aba Proxy, no histórico HTTP, aparecerá uma lista completa de requisições.
Vantagens de trabalhar através do navegador embutido:
Não precisa configurar nada;
Não há programas e extensões desnecessários;
Sem requisições desnecessárias - apenas as relacionadas ao alvo.
Desvantagens:
Você pode ter extensões convenientes no navegador habitual;
Você está executando outro consumidor de memória RAM;
Não há como girar o alvo em diferentes versões de navegadores e em diferentes mecanismos;
Às vezes, o navegador falha e se recusa a iniciar.
Proxy Burp
Antes de usar o proxy, certifique-se de que ele está em execução. Vá para a aba Proxy, clique em Proxy settings. Na janela que aparece, veja Proxy listeners. Se houver uma marca de seleção ao lado de 127.0.0.1:8080, tudo bem - o proxy está em execução. A porta 8080 está ocupada, por isso não há marca de seleção. Se eu tentar instalá-la, o Burp tentará iniciar o proxy e emitirá um erro.
O restante do artigo está disponível apenas para assinantes.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Burp Suite do Zero: Primeiros Passos em Web Pentesting
O Burp Suite é a ferramenta fundamental para quem trabalha com segurança web. Dominá-lo é, por assim dizer, dominar os fundamentos dos ataques a servidores web. Neste guia, você aprenderá como os pentesters modificam requisições para contornar a autenticação, realizar brute force em senhas e encontrar outras vulnerabilidades usando o Burp.
Instalação
Baixe o Burp Suite no site oficial da PortSwigger. Existem duas versões principais do programa: Community e Professional. A Community é gratuita e vem embutida em todos os sistemas operacionais de pentesting. Suas capacidades são limitadas: por exemplo, não há Collaborator, o Intruder funciona em um único fluxo e não em todos os modos, não há suporte a projetos, ou seja, não é possível salvar o trabalho em um único arquivo.
A versão Professional é paga, funciona sem restrições e custa $499 por ano. Há uma opção de obter uma avaliação de 30 dias, mas é necessário um endereço de e-mail corporativo. Você pode tentar um provedor de e-mail menos conhecido, mas há uma chance de recusa. Ou você pode se preocupar: comprar um domínio barato e adicionar qualquer landing page em um idioma estrangeiro, imitando uma pequena empresa (no entanto, mesmo apenas qualquer domínio barato provavelmente será suficiente).
Você também precisará de uma descrição textual do que exatamente você deseja testar no período de avaliação. Escreva algo sobre testar todos os recursos do programa para entender se vale a pena adquiri-lo ou usar as ferramentas que você está acostumado. Ou sobre o fato de que você deseja se preparar para a certificação Burp Suite Certified Practitioner.
Informação: Leia sobre como passar neste exame no artigo "Burp Certified Practitioner. Como eu passei no novo exame dos criadores do Burp".
Vamos presumir que você já tenha obtido uma avaliação. Não vou falar sobre outras maneiras de obter a versão completa, mas, se essa for sua opção, verifique se há vírus (a ameaça é bem real).
Para os testes, usaremos uma aplicação vulnerável especial, a OWASP Juice Shop. Para que funcione, instale o Node.js, de preferência a versão 24. Depois disso, execute os comandos:
No Burp, tudo é construído em torno de requisições e respostas. Sem uma requisição, não há unidade de informação. Há uma requisição - ela pode ser jogada em qualquer ferramenta que interaja de alguma forma com o alvo: Repeater, Intruder, Scanner, uma extensão personalizada.
O essencial no Burp é interceptar requisições/respostas e modificá-las. Existem duas maneiras de interceptar: o navegador Chromium embutido e o proxy.
Navegador Chromium Embutido
Inicie o navegador embutido na aba Proxy. Antes das primeiras requisições, você pode encontrar o botão Open browser na aba Target, após o qual ele desaparecerá.
Na janela do navegador, vá para http://127.0.0.1:3000. À medida que o site carrega, um mapa do site será construído na aba Target, e na aba Proxy, no histórico HTTP, aparecerá uma lista completa de requisições.
Vantagens de trabalhar através do navegador embutido:
Não precisa configurar nada;
Não há programas e extensões desnecessários;
Sem requisições desnecessárias - apenas as relacionadas ao alvo.
Desvantagens:
Você pode ter extensões convenientes no navegador habitual;
Você está executando outro consumidor de memória RAM;
Não há como girar o alvo em diferentes versões de navegadores e em diferentes mecanismos;
Às vezes, o navegador falha e se recusa a iniciar.
Proxy Burp
Antes de usar o proxy, certifique-se de que ele está em execução. Vá para a aba Proxy, clique em Proxy settings. Na janela que aparece, veja Proxy listeners. Se houver uma marca de seleção ao lado de 127.0.0.1:8080, tudo bem - o proxy está em execução. A porta 8080 está ocupada, por isso não há marca de seleção. Se eu tentar instalá-la, o Burp tentará iniciar o proxy e emitirá um erro.
O restante do artigo está disponível apenas para assinantes.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
