Pavasara atlaide –€10 visiem moduļu kursiem Apskatīt →
Programmas Mācību ceļš Sertifikācija Dibinātājs Uzņēmumiem Simulatori Blogs
← Atpakaļ uz blogu
Blogs

Burp Suite pamati iesācējiem — HTTP pieprasījumu pārtveršana un analīze

2026. gada 19. marts · 5 min lasīšana · Madars Balodis

Iedomājies, ka tu sēdi kafejnīcā un klausies, kā viesmīlis nodod tavu pasūtījumu virtuvei. Tu dzirdi visu — ko tu pasūtīji, kādu galda numuru viesmīlis nosauca un kādas īpašas vēlmes pieminēja. Tagad iedomājies, ka tu vari ne tikai klausīties, bet arī pārtvert šo ziņojumu un pamainīt galda numuru uz VIP zāles galdu. Virtuve nekad to neuzzinātu.

Tieši tā strādā Burp Suite — tas ir starpniekserveris (proxy), kas “apsēžas” starp tavu pārlūku un vietnes serveri, ļaujot tev redzēt, analizēt un modificēt katru HTTP pieprasījumu un atbildi.

Kas ir Burp Suite?

Burp Suite ir PortSwigger izstrādāts web aplikāciju drošības testēšanas rīku komplekts. Tas ir de facto standarts gan iesācējiem, gan profesionāliem drošības testētājiem (pentesteriem) visā pasaulē.

Galvenie moduļi:

  • Proxy — pārtver HTTP pieprasījumus starp pārlūku un serveri. Tu redzi katru pieprasījumu un vari to modificēt pirms nosūtīšanas.
  • Repeater — ļauj manuāli nosūtīt un pārveidot pieprasījumus, mainot parametrus un vērojot servera reakciju.
  • Intruder — automatizēts rīks parametru pārlasīšanai (piemēram, ID numuru pārmeklēšanai).
  • Scanner (Pro versija) — automātiski atrod ievainojamības web aplikācijā.

Bezmaksas Community Edition ir pietiekami jaudīga mācībām un manuālai testēšanai. Pro versija pievieno automatizāciju un ātrumu.

Juridisks brīdinājums

Burp Suite ir likumīgs un plaši izmantots rīks, bet to drīkst lietot tikai:

  • pret savām web aplikācijām,
  • vidēs, kas īpaši paredzētas testēšanai (CTF, laboratorijas),
  • pret citām sistēmām tikai ar rakstisku īpašnieka atļauju.

Nesankcionēta citu vietņu testēšana ir krimināli sodāma saskaņā ar Latvijas Krimināllikuma 241. un 243. pantu. Izmanto šo rīku gudri un ētiski.

Kā tas strādā? HTTP pieprasījumu pamati

Kad tu atveri vietni pārlūkā, notiek šāda secība:

  1. Pārlūks nosūta HTTP pieprasījumu (request) serverim.
  2. Serveris apstrādā pieprasījumu un nosūta atpakaļ HTTP atbildi (response).

Parasti šī saruna notiek “aizkulisēs” — tu to neredzi. Burp Suite ļauj apturēt šo pieprasījumu ceļā un apskatīt tā saturu.

Pieprasījuma anatomija

POST /api/login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Cookie: session=abc123

email=user@example.com&password=parole123
  • POST — HTTP metode (POST nosūta datus, GET pieprasa datus)
  • /api/login — ceļš (endpoint), uz kuru pieprasījums tiek nosūtīts
  • Host — servera adrese
  • Cookie — sesijas informācija, kas identificē lietotāju
  • Body (apakšējā rinda) — nosūtītie dati (e-pasts un parole)

Atbildes anatomija

HTTP/1.1 200 OK
Content-Type: application/json
Set-Cookie: session=eyJhbGciOi...

{"status":"ok","user_id":5,"role":"user"}

Servera atbilde satur statusa kodu (200 = veiksmīgi), galvenes un JSON datus. Šajā gadījumā redzam, ka mums ir piešķirta loma "role":"user".

Uzstādīšana un konfigurēšana

1. Lejupielādē Burp Suite

Dodies uz portswigger.net un lejupielādē Community Edition. Nepieciešama Java vide (JRE), kas parasti tiek iekļauta instalācijas pakotnē.

2. Konfigurē pārlūku

Lai Burp Suite varētu pārtvert pieprasījumus, pārlūkam jānosūta trafika caur Burp proxy:

  • Uzstādi proxy uz 127.0.0.1:8080 (Burp noklusējuma ports).
  • Vienkāršākais veids — izmanto pārlūka paplašinājumu FoxyProxy (Firefox vai Chrome). Izveido profilu ar adresi 127.0.0.1 un portu 8080.
  • Ieslēdz profilu, kad vēlies testēt, un izslēdz, kad beidz.

3. Instalē CA sertifikātu

Lai Burp varētu pārtvert HTTPS trafiku, tev jāinstalē tā CA sertifikāts pārlūkā. Dodies uz http://burp (ar ieslēgtu proxy) un lejupielādē sertifikātu. Importē to pārlūka sertifikātu pārvaldniekā kā uzticamu.

Proxy — pirmā pārtveršana

Kad viss ir uzstādīts:

  1. Atver Burp Suite un dodies uz Proxy → Intercept cilni.
  2. Pārbaudi, ka redzams “Intercept is on” (oranžā poga).
  3. Pārlūkā atver testējamo vietni un veic darbību (piemēram, pieslēgšanos).
  4. Burp logā parādīsies pārtvertais pieprasījums — tu vari to:
    • Forward — nosūtīt tālāk serverim,
    • Drop — izmest (pieprasījums netiks nosūtīts),
    • modificēt — mainīt parametrus, galvenes vai datus pirms nosūtīšanas.

Repeater — manuāla testēšana

Repeater ir tavs labākais draugs manuālā testēšanā. Tu vari:

  1. Kopēt jebkuru pārtvertu pieprasījumu uz Repeater (labais klikšķis → Send to Repeater).
  2. Mainīt pieprasījuma daļas (URL ceļu, parametrus, galvenes).
  3. Spiest Send un vērot, kā serveris reaģē uz izmaiņām.

Piemēram, ja redzi pieprasījumu GET /api/users/5, vari nomainīt 5 uz 1 un pārbaudīt, vai serveris atgriež cita lietotāja datus. Ja atgriež — tā ir IDOR ievainojamība.

Biežākās ievainojamības, ko atrod ar Burp Suite

Bojāta piekļuves kontrole (OWASP #1)

Ja serveris uzticas klienta pusē esošiem datiem (piemēram, lomai JWT tokenā) un nepārbauda tiesības savā pusē — uzbrucējs var mainīt role: "user" uz role: "admin" un iegūt administratora piekļuvi.

IDOR (Insecure Direct Object Reference)

Serveris izmanto lietotāja ievadītu ID (piemēram, /api/orders/1234), lai piekļūtu datiem, bet nepārbauda, vai šim lietotājam ir tiesības tos redzēt. Uzbrucējs vienkārši mēģina citus ID numurus.

Informācijas noplūde

Servera atbildes dažreiz satur pārāk daudz informācijas — iekšējos ceļus, konfigurācijas datus, vai pat paroles hešus. Burp Suite ļauj ērti pārskatīt katru atbildi un pamanīt šādas noplūdes.

Pamēģini pats! (Legāli un droši)

Mēs esam izveidojuši interaktīvu Burp Suite simulatoru tieši tavā pārlūkā. Tajā tu:

  1. Pārtversi pieteikšanās POST pieprasījumu un izpētīsi tā struktūru.
  2. Analizēsi servera atbildi un atradīsi JWT tokenu ar lietotāja lomu.
  3. Modificēsi pieprasījumu, nomainot role no user uz admin.
  4. Izmantosi Repeater, lai veiktu IDOR uzbrukumu un piekļūtu administratora profilam.
  5. Uzzināsi par aizsardzības metodēm.

Simulators darbojas pilnībā tavā pārlūkā — nekādas instalācijas, nekāda riska.

Aizsardzība — kā pasargāt savu aplikāciju

Ja tu izstrādā web aplikācijas, šeit ir galvenās vadlīnijas:

  1. Nekad neuzticies klienta puses datiem. Viss, kas nāk no pārlūka (tokeni, parametri, galvenes), var būt modificēts.
  2. Pārbaudi JWT parakstu servera pusē katram pieprasījumam. Ja paraksts nesakrīt — noraidīt pieprasījumu.
  3. Autorizācija katram resursam. Kad lietotājs pieprasa /api/users/1, pārbaudi, vai viņam ir tiesības redzēt šos datus.
  4. Izmanto UUID resursu identifikatoriem, nevis secīgus skaitļus (1, 2, 3...). Tas apgrūtina ID pārmeklēšanu.
  5. RBAC (Role-Based Access Control) — lomu un tiesību pārvaldība serverī, nevis klientā.

Vēlies apgūt web aplikāciju drošības testēšanu padziļināti? Mūsu Kiberdrošības speciālista kursā tu strādāsi ar Burp Suite un citiem profesionāliem rīkiem reālās laboratorijas vidēs — ar pasniedzēja atbalstu un sertifikātu kursa beigās.

Burp Suiteweb drošībaiesācējiemrīkiOWASP