Burp Suite è lo strumento di riferimento per il test di sicurezza delle applicazioni web: usato da penetration tester, ethical hacker e partecipanti a competizioni CTF in tutto il mondo. La versione Community Edition è gratuita e include tutti gli strumenti essenziali per analizzare il traffico HTTP/HTTPS, manipolare le richieste e scoprire le vulnerabilità più comuni. La versione Professional, a $475 per utente all’anno, aggiunge lo scanner automatico, Burp AI e il salvataggio dei progetti tra sessioni diverse.
La versione più recente al momento della pubblicazione di questa guida è la 2025.12.5, rilasciata il 27 gennaio 2026 con il browser Chromium 144.0.7559.97 integrato. PortSwigger pubblica aggiornamenti frequenti, quindi è buona pratica controllare la pagina delle release prima di iniziare un nuovo engagement.
Questa guida pratica ti accompagna attraverso 12 step per configurare Burp Suite su qualsiasi sistema operativo, intercettare il primo traffico HTTPS, usare Repeater, Intruder e Decoder, e identificare vulnerabilità reali come SQL injection, XSS, IDOR e SSRF. Segui ogni passaggio nell’ordine in cui è presentato: ogni step costruisce sulle basi del precedente. Il tempo complessivo per completare la configurazione e il primo test è di circa 30 minuti.
Prerequisiti
Prima di iniziare, verifica di avere tutto il necessario. Burp Suite include Java al suo interno, quindi non è necessaria un’installazione separata. Il browser consigliato per questa guida è Firefox, che permette una configurazione granulare del proxy senza interferire con il resto del sistema.
| Requisito | Versione minima | Note |
|---|---|---|
| Sistema operativo | Windows 10+, macOS 12+, Ubuntu 22.04+ | Burp fornisce installer nativi per tutti e tre |
| Browser | Firefox 120+ | Necessario per FoxyProxy e la gestione del certificato CA |
| Java | Incluso nell’installer | Nessuna installazione separata richiesta dal 2024 |
| RAM | 4 GB (8 GB raccomandati) | Lo scanner Professional richiede più memoria |
| Spazio su disco | 500 MB | Per l’installer e i log del proxy |
| Conoscenze base | HTTP/HTTPS, HTML, JSON | Utile per interpretare le richieste intercettate |
Testare applicazioni web senza autorizzazione esplicita è illegale in Italia e in tutta l’Unione Europea. Usa Burp Suite solo su ambienti di test che controlli tu (come DVWA o WebGoat), su piattaforme CTF autorizzate o su sistemi per cui hai un mandato scritto. PortSwigger fornisce laboratori gratuiti su Web Security Academy appositamente pensati per la pratica legale.
Community Edition vs Professional: confronto completo
Burp Suite esiste in tre edizioni. La Community Edition è gratuita e copre la grande maggioranza dei casi d’uso manuali. La Professional Edition, a $475 per utente all’anno (prezzo aggiornato al 6 gennaio 2026), aggiunge automazione, intelligenza artificiale e la possibilità di salvare i progetti tra una sessione e l’altra. La Enterprise Edition è destinata alle grandi aziende con scansioni in scala.
| Funzionalità | Community (gratuita) | Professional ($475/anno) |
|---|---|---|
| Proxy HTTP/HTTPS/WebSocket | Completo | Completo |
| Repeater | Completo | Completo + AI Repeater |
| Decoder | Completo | Completo |
| Comparer | Completo | Completo |
| Sequencer | Completo | Completo |
| Intruder | Limitato (throttled) | Completo e veloce |
| Scanner automatico | Non disponibile | Disponibile |
| Burp Collaborator (OAST) | Non disponibile | Disponibile |
| Salvataggio progetto | Non disponibile | Disponibile |
| Burp AI | Non disponibile | Dal 2025.2: AI in Repeater, scanner AI, Explainer |
| BApp Store (estensioni Pro) | Solo estensioni gratuite | Tutte le estensioni |
| Prezzo | Gratuito | $475/utente/anno |
Per chi inizia, la Community Edition è sufficiente per completare questa intera guida e per superare la maggior parte dei laboratori di Burp Suite Academy. Il limite principale è l’Intruder throttled: in Community, le richieste automatizzate vengono rallentate artificialmente, rendendo il fuzzing di grandi wordlist impraticabile. Per un pentesting professionale, la Professional Edition è indispensabile.
Step 1: scaricare Burp Suite Community Edition
Accedi alla pagina ufficiale di download di Burp Suite Community Edition su PortSwigger.net. La versione più recente al momento della pubblicazione di questa guida è la 2025.12.5, rilasciata il 27 gennaio 2026. PortSwigger aggiorna Burp Suite frequentemente: controlla sempre di avere l’ultima versione stabile prima di iniziare un nuovo engagement.
Scegli l’installer appropriato per il tuo sistema operativo: file eseguibile .exe per Windows, pacchetto .dmg o .sh per macOS, oppure script .sh per Linux. Non scaricare Burp Suite da fonti non ufficiali, la firma digitale dell’installer garantisce l’integrità del file. Puoi verificare i release notes di ogni versione sulla pagina delle release di PortSwigger.
Step 2: installare Burp Suite su Linux, Windows e macOS
L’installazione varia leggermente a seconda del sistema operativo. Su Windows, esegui il file .exe scaricato e segui la procedura guidata: accetta il percorso di installazione predefinito, fai clic su Next fino a completamento e poi su Finish. Burp Suite apparirà nel menu Start.
Su Linux, lo script di installazione deve essere reso eseguibile prima di poterlo avviare. Apri il terminale nella cartella dove hai scaricato il file e lancia questi comandi:
# Sostituisci il nome del file con la versione scaricata
chmod +x burpsuite_community_linux_v2025_12_5.sh
sudo ./burpsuite_community_linux_v2025_12_5.shSu macOS, apri il file .dmg scaricato, trascina Burp Suite nella cartella Applicazioni e avvialo dal Launchpad. Se macOS blocca il file perché proviene da uno sviluppatore non identificato nell’elenco di Apple, vai in Preferenze di Sistema, poi Sicurezza e Privacy, e clicca su Apri comunque.
Al primo avvio, Burp Suite mostra una finestra di configurazione iniziale. Seleziona Temporary project (l’unica opzione disponibile in Community Edition) e poi Use Burp defaults nella schermata successiva. Clicca su Start Burp per aprire l’interfaccia principale.
Step 3: installare e configurare FoxyProxy in Firefox
FoxyProxy è un’estensione che permette di dirigere il traffico di Firefox verso il proxy di Burp Suite con un semplice clic, senza dover modificare le impostazioni globali del sistema. Questo approccio è raccomandato perché consente di attivare e disattivare il proxy in modo selettivo, evitando di intercettare traffico non voluto.
Installa FoxyProxy Standard dall’elenco dei componenti aggiuntivi di Firefox. Dopo l’installazione, clicca sull’icona di FoxyProxy nella barra degli strumenti e seleziona Options. Nella schermata di configurazione, crea un nuovo profilo proxy con questi parametri:
| Impostazione | Valore |
|---|---|
| Titolo | Burp Suite |
| Tipo | HTTP |
| Host | 127.0.0.1 |
| Porta | 8080 |
| Autenticazione | Nessuna |
Salva il profilo e, per attivare il proxy, clicca sull’icona di FoxyProxy e seleziona il profilo Burp Suite. Quando il proxy è attivo, tutto il traffico HTTP e HTTPS di Firefox passerà attraverso Burp. Per disattivarlo, seleziona Disable FoxyProxy dallo stesso menu.
Step 4: installare il certificato CA di Burp Suite in Firefox
Senza il certificato CA di Burp, Firefox mostrerà un errore di sicurezza su tutti i siti HTTPS, perché Burp intercetta e ri-firma il traffico TLS con il proprio certificato. L’installazione del certificato CA risolve questo problema e abilita l’intercettazione trasparente del traffico cifrato.
Con Burp Suite aperto e FoxyProxy attivato su Firefox, segui questa procedura:
- Apri Firefox e naviga verso
http://burpsuiteoppurehttp://127.0.0.1:8080 - Clicca su CA Certificate per scaricare il file
cacert.der - In Firefox, apri il menu a hamburger e vai in Impostazioni
- Cerca “certificati” nella barra di ricerca delle impostazioni
- Clicca su Visualizza certificati
- Nella scheda Autorità, clicca su Importa
- Seleziona il file
cacert.derscaricato - Nella finestra di dialogo, seleziona Considera attendibile questa CA per identificare siti web
- Clicca su OK
Da questo momento, Firefox si fiderà dei certificati generati dinamicamente da Burp Suite per ogni dominio HTTPS che visiti. Puoi verificare che il certificato sia stato importato correttamente cercando “PortSwigger” nell’elenco delle autorità di certificazione.
Insidia comune n. 1: molti utenti saltano questo step e si chiedono perché Firefox mostra errori su tutti i siti HTTPS. Il certificato CA va installato una sola volta e rimane valido per tutta la durata dell’installazione di Burp.
Step 5: configurare il Proxy Listener
Burp Suite deve essere in ascolto sulla stessa porta che FoxyProxy usa per inviare il traffico. Per impostazione predefinita, Burp ascolta su 127.0.0.1:8080, che coincide con la configurazione di FoxyProxy che hai creato nello step 3. Verifica questa configurazione prima di procedere.
In Burp Suite, vai nella scheda Proxy, poi in Proxy settings (o Options nelle versioni precedenti). Nella sezione Proxy Listeners, dovrebbe già esistere un listener attivo su 127.0.0.1:8080. Se non è presente o se vuoi aggiungere un listener su una porta diversa, clicca su Add e inserisci:
# Configurazione listener Burp Suite
Bind to port: 8080
Bind to address: Loopback only (127.0.0.1)
# Verifica che il listener sia attivo con la spunta verde nella colonna "Running"Se stai usando Burp Suite su una macchina virtuale e vuoi intercettare il traffico dall’host, cambia l’indirizzo del listener da 127.0.0.1 all’indirizzo IP dell’interfaccia di rete condivisa tra host e VM. Questo scenario è comune nelle sfide CTF con macchine virtualizzate.
Insidia comune n. 2: se hai un altro software in ascolto sulla porta 8080 (come un server di sviluppo locale), Burp Suite non riuscirà ad avviarsi su quella porta. In questo caso, cambia la porta del listener a 8081 e aggiorna di conseguenza la configurazione di FoxyProxy.
Step 6: intercettare il primo traffico HTTP/HTTPS
Con Burp Suite in esecuzione, FoxyProxy attivato su Firefox e il certificato CA installato, sei pronto per intercettare il primo traffico. Vai nella scheda Proxy di Burp e assicurati che il pulsante Intercept is on sia attivo (sfondo arancione o con testo evidenziato).
In Firefox, naviga verso un sito HTTP o HTTPS. Burp Suite catturerà immediatamente la richiesta e la mostrerà nella scheda Intercept. A questo punto puoi:
- Forward: invia la richiesta al server senza modifiche
- Drop: elimina la richiesta e blocca la navigazione
- Forward after editing: modifica la richiesta e poi la invia
- Action: invia la richiesta a un altro tool (Repeater, Intruder, Decoder)
Premi ripetutamente il pulsante Forward finché la pagina non si carica completamente. Ogni richiesta (HTML, CSS, JavaScript, immagini) deve essere inoltrata separatamente. Per non dover fare clic su Forward centinaia di volte durante la navigazione normale, disattiva l’intercept con il pulsante Intercept is off e usa la scheda HTTP History per rivedere le richieste già inoltrate.
Insidia comune n. 3: lasciare l’Intercept attivo durante la navigazione normale blocca il browser. La pratica corretta è attivarlo solo quando stai per eseguire un’azione specifica che vuoi analizzare (es. invio di un form, autenticazione, upload di file).
Step 7: analizzare HTTP History e definire il Target Scope
La scheda HTTP History nel menu Proxy registra tutte le richieste inoltrate, anche quando l’Intercept è disattivato. Questa vista ti permette di rivedere l’intera sessione di navigazione, filtrare per dominio, metodo HTTP o codice di risposta e selezionare richieste interessanti da inviare agli altri tool.
Per evitare di analizzare traffico non pertinente (aggiornamenti di estensioni del browser, telemetria, CDN di terze parti), definisci il Target Scope. Vai nella scheda Target, seleziona Scope settings e aggiungi il dominio che vuoi testare nella lista degli URL inclusi. Ad esempio, per testare un sito locale su porta 8000:
# Aggiungere un target al scope in Burp Suite
# Nella scheda Target > Scope settings > Include in scope
URL prefix: http://localhost:8000
oppure
URL prefix: https://testphp.vulnweb.com
# Dopo aver definito lo scope, Burp ti chiederà se vuoi
# "send out-of-scope items to history" - rispondi No
# per mantenere la history pulitaNella vista Site map della scheda Target, Burp costruisce automaticamente una mappa dell’applicazione man mano che navighi. Ogni endpoint che hai visitato appare nella struttura ad albero, con le relative richieste e risposte. Questo strumento è prezioso per capire l’architettura dell’applicazione prima di iniziare il testing.
Step 8: usare Repeater per modificare e ripetere le richieste
Repeater è lo strumento che userai di più durante il testing manuale. Permette di prendere una richiesta HTTP, modificarla in ogni sua parte (header, body, parametri, cookie) e reinviarla al server quante volte vuoi. Ogni risposta viene mostrata accanto alla richiesta, rendendo facile confrontare il comportamento dell’applicazione al variare dei parametri.
Per inviare una richiesta a Repeater, clicca con il tasto destro su qualsiasi richiesta nella scheda HTTP History o nell’Intercept e seleziona Send to Repeater (scorciatoia: Ctrl+R). Poi vai nella scheda Repeater.
Ecco un esempio pratico: supponiamo di aver catturato una richiesta di login. In Repeater possiamo testare manualmente un payload di SQL injection nel campo username senza dover tornare al browser ogni volta:
POST /login HTTP/1.1
Host: testapp.local
Content-Type: application/x-www-form-urlencoded
Cookie: session=abc123
username=admin'--&password=qualsiasi
# L'apostrofo e il doppio trattino sono un classico payload SQLi
# Se il server risponde con un errore SQL o con un login riuscito,
# l'applicazione è probabilmente vulnerabile a SQL injectionClicca su Send per inviare la richiesta e osserva la risposta nel pannello di destra. Puoi modificare il payload e cliccare di nuovo su Send senza limitazioni. Repeater non ha throttling neanche nella Community Edition, il che lo rende uno strumento potente anche per chi non ha la licenza Professional.
Dalla versione 2025.2, Burp Professional include AI in Repeater: l’intelligenza artificiale può suggerire payload alternativi basati sulla risposta del server, accelerando il processo di test manuale. In Community Edition questa funzionalità non è disponibile.
Step 9: usare Intruder per il fuzzing automatizzato dei parametri
Intruder è il tool di Burp Suite per i test automatizzati a volume: permette di prendere una richiesta, definire una o più posizioni di payload, caricare una wordlist e far inviare a Burp centinaia o migliaia di richieste variando i parametri scelti. È lo strumento ideale per il brute force di credenziali, l’enumerazione di endpoint, il fuzzing di parametri e il testing di input validation.
Per inviare una richiesta a Intruder, clicca con il tasto destro e seleziona Send to Intruder (scorciatoia: Ctrl+I). Nella scheda Intruder, Burp evidenzia automaticamente i parametri rilevati. Puoi personalizzare le posizioni dei payload circondando il testo da variare con i simboli §. Esempio:
POST /login HTTP/1.1
Host: testapp.local
Content-Type: application/x-www-form-urlencoded
username=§admin§&password=§password§
# I simboli § delimitano le posizioni dei payload
# Con attack type "Sniper": un solo set di payload, applicato a una posizione per volta
# Con attack type "Cluster bomb": più set di payload combinati (tutti contro tutti)Burp Intruder supporta quattro tipi di attacco:
- Sniper: un set di payload, inserito in una posizione per volta. Ideale per testare singoli parametri.
- Battering ram: lo stesso payload inserito in tutte le posizioni contemporaneamente.
- Pitchfork: più set di payload paralleli, uno per posizione. Utile per coppie username/password note.
- Cluster bomb: combinazione cartesiana di tutti i payload in tutte le posizioni. Efficace ma genera molte richieste.
Insidia comune n. 4: in Community Edition, Intruder è artificialmente rallentato: le richieste vengono inviate a un ritmo molto basso. Per wordlist grandi, questo rende Intruder praticamente inutilizzabile nella versione gratuita. L’alternativa in Community è usare strumenti esterni come ffuf o wfuzz per il fuzzing veloce, e Burp Intruder solo per test con pochi payload.
Step 10: usare Decoder per codifica e decodifica dei dati
Decoder è uno strumento semplice ma indispensabile: permette di codificare e decodificare dati in diversi formati senza uscire da Burp Suite. È particolarmente utile quando analizzi token, cookie cifrati, valori nei parametri URL o dati nei body delle richieste.
Accedi a Decoder dalla scheda omonima nella barra superiore di Burp. Puoi incollare qualsiasi testo nel pannello di input e poi scegliere l’operazione di decodifica o codifica. I formati supportati includono:
# Esempi di operazioni comuni in Burp Decoder
# Base64 encode
Input: {"user":"admin","role":"superuser"}
Output: eyJ1c2VyIjoiYWRtaW4iLCJyb2xlIjoic3VwZXJ1c2VyIn0=
# URL decode
Input: %3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E
Output: <script>alert('XSS')</script>
# HTML decode
Input: <b>testo</b>
Output: <b>testo</b>
# Hex encode
Input: password
Output: 70617373776f7264Puoi anche applicare più trasformazioni in sequenza cliccando su Decode as nei pannelli sottostanti. Questo è utile per i dati con encoding multiplo, come un valore URL-encoded che contiene a sua volta del Base64.
Insidia comune n. 5: confondere encode e decode porta a risultati sbagliati. Se stai analizzando un token in un cookie e vedi caratteri illeggibili, inizia sempre con una decodifica Base64. Se il risultato è ancora illeggibile, prova URL decode, poi HTML decode. Burp Decoder permette di concatenare le operazioni facilmente.
Step 11: trovare vulnerabilità web con Burp Suite (SQLi, XSS, IDOR, SSRF)
Con gli strumenti configurati, puoi iniziare a cercare vulnerabilità reali. Burp Suite è particolarmente efficace per quattro categorie di vulnerabilità elencate nell’OWASP Top 10: SQL injection, Cross-Site Scripting, Insecure Direct Object References e Server-Side Request Forgery.
SQL Injection con Burp Suite
La SQL injection si verifica quando l’input utente viene inserito direttamente in una query SQL senza sanitizzazione. Usa Repeater per testare questo payload classico in ogni campo di input dell’applicazione:
# Payload di base per rilevare SQL injection
# Inserisci queste stringhe nei parametri uno per volta
' -- Apostrofo singolo: verifica se causa un errore SQL
'' -- Doppio apostrofo: verifica se l'app gestisce l'escape
' OR '1'='1 -- Always-true: può bypassare autenticazione
' OR 1=1-- -- Commento SQL per ignorare il resto della query
1' ORDER BY 1-- -- Enumerazione delle colonne con ORDER BYSe un singolo apostrofo genera un errore del database nella risposta HTTP, l’applicazione è quasi certamente vulnerabile. Invia la richiesta a Repeater e inizia a raffinare il payload. Per un’analisi approfondita dei laboratori su SQL injection, PortSwigger Academy offre 18 laboratori gratuiti progressivi.
Cross-Site Scripting (XSS) con Burp Suite
Per testare XSS, inietta payload JavaScript nei campi di input e verifica se vengono riflessi nella risposta HTML senza encoding. Usa Decoder per URL-encodare i payload se necessario:
# Payload XSS di base per test iniziale
<script>alert('XSS')</script>
<img src=x onerror=alert('XSS')>
"><script>alert('XSS')</script>
'><svg onload=alert('XSS')>
# Se l'app fa escaping dell'HTML, prova varianti:
javascript:alert('XSS')
<ScRiPt>alert('XSS')</ScRiPt>
# In Burp: invia con Repeater, cerca il tuo payload nella risposta
# Usa Ctrl+F nel pannello risposta per trovare il payload riflessoIDOR e SSRF con Burp Suite
Le vulnerabilità IDOR (Insecure Direct Object Reference) si trovano modificando gli ID degli oggetti nelle richieste. Se l’API risponde con /api/users/1001/profile, prova a cambiare l’ID in 1000 o 1002 in Repeater e verifica se riesci ad accedere ai dati di altri utenti. L’IDOR è una delle vulnerabilità più comuni nelle API REST moderne.
Per l’SSRF (Server-Side Request Forgery), cerca parametri che accettano URL come input (es. url=, redirect=, image_url=) e prova a puntarli verso risorse interne. Con Burp Professional, Burp Collaborator fornisce un server esterno con URL univoco per rilevare richieste out-of-band: quando il server della vittima contatta il tuo URL Collaborator, conferma la presenza di SSRF.
Step 12: Burp Suite Academy per la pratica guidata
PortSwigger ha sviluppato Web Security Academy, una piattaforma di formazione gratuita con centinaia di laboratori pratici. Ogni laboratorio è un’applicazione web vulnerabile eseguita in sandbox: puoi testare payload reali senza il rischio di danneggiare sistemi produzione e senza violare leggi.
I laboratori sono organizzati per categoria di vulnerabilità e livello di difficoltà (Apprendista, Esperto, Professionista). Per chi inizia, il percorso di apprendimento consigliato da PortSwigger guida attraverso le fondamenta prima di affrontare tecniche avanzate.
I laboratori gratuiti su PortSwigger Academy sono il modo migliore per affinare le competenze con Burp Suite senza richiedere infrastruttura propria. Crea un account gratuito, collega Burp Suite e inizia dai laboratori di SQL injection. Ogni volta che completi un laboratorio, la soluzione viene mostrata, permettendo di confrontare il proprio approccio con quello di PortSwigger.
Errori comuni e risoluzione dei problemi
Questi sono gli 8 problemi più frequenti con Burp Suite, le loro cause e le soluzioni rapide.
Problema 1: nessun traffico appare in Burp
Causa: FoxyProxy non è attivo oppure il listener di Burp è su una porta diversa da quella configurata in FoxyProxy. Soluzione: verifica che FoxyProxy mostri il profilo “Burp Suite” come attivo (icona colorata). In Burp, vai in Proxy Settings e controlla che il listener su 127.0.0.1:8080 abbia la spunta verde nella colonna Running.
Problema 2: Firefox mostra errori di certificato su siti HTTPS
Causa: il certificato CA di Burp non è stato importato in Firefox. Soluzione: segui nuovamente lo step 4. Assicurati di selezionare la trust per “siti web” durante l’importazione. Se il problema persiste, rimuovi il vecchio certificato dall’elenco delle autorità e reimportalo.
Problema 3: l’Intercept cattura richieste ma la pagina non si carica
Causa: le richieste vengono bloccate nell’Intercept senza essere inoltrate. Soluzione: clicca ripetutamente su Forward fino a quando la pagina si carica, oppure disattiva l’Intercept se non hai bisogno di analizzare la singola richiesta e usa l’HTTP History per la revisione a posteriori.
Problema 4: Intruder è estremamente lento
Causa: Community Edition limita artificialmente la velocità di Intruder. Soluzione: per wordlist grandi, usa strumenti esterni come ffuf, wfuzz o hydra. Usa Intruder in Community solo per test con meno di 50 payload, dove il throttling è accettabile.
Problema 5: Burp Suite non si avvia su Linux
Causa: lo script di installazione non ha i permessi di esecuzione oppure è stato avviato senza sudo. Soluzione: esegui chmod +x nome-installer.sh e poi sudo ./nome-installer.sh. Se il problema persiste, verifica che il sistema abbia abbastanza spazio su disco e che non ci siano errori nei log di installazione.
Problema 6: il certificato CA scade o cambia versione
Causa: aggiornando Burp Suite a una nuova major version, il certificato CA può cambiare. Soluzione: rimuovi il vecchio certificato CA da Firefox (cerca “PortSwigger” nelle autorità), scarica il nuovo da http://burpsuite con il proxy attivo e reimportalo seguendo lo step 4.
Problema 7: le estensioni BApp non si installano in Community
Causa: alcune estensioni nel BApp Store richiedono Burp Suite Professional. Soluzione: filtra le estensioni per “Community Edition” nel BApp Store per vedere solo quelle compatibili. Le estensioni gratuite includono tool utili come Logger++, Autorize, JSON Beautifier e Active Scan++.
Problema 8: le risposte appaiono vuote o troncate
Causa: alcune applicazioni usano compressione gzip o Brotli nelle risposte. Burp solitamente decomprime automaticamente, ma se l’header Accept-Encoding viene modificato durante l’intercettazione, la risposta può sembrare corrotta. Soluzione: in Proxy Settings, assicurati che l’opzione Set Connection header to “close” sia attiva, oppure rimuovi manualmente l’header Accept-Encoding dalle richieste intercettate.
Burp Suite vs OWASP ZAP: quale scegliere
OWASP ZAP (Zed Attack Proxy) è l’alternativa open source più usata a Burp Suite. La scelta tra i due dipende dal caso d’uso e dalle risorse disponibili.
| Aspetto | Burp Suite Community | OWASP ZAP |
|---|---|---|
| Prezzo | Gratuito | Gratuito e open source |
| Proxy manuale | Eccellente, workflow fluido | Buono, interfaccia più complessa |
| Scanner automatico | Non disponibile | Disponibile e gratuito |
| Curva di apprendimento | Moderata, ottima per CTF | Più ripida per i principianti |
| Integrazioni CI/CD | Solo Professional/Enterprise | Disponibile con ZAP Automation |
| Community e risorse | PortSwigger Academy, forum attivo | OWASP Forum, documentazione |
| Aggiornamenti | Frequenti da PortSwigger | Open source, contributi variabili |
| Ideale per | Test manuali, CTF, apprendimento | Automazione, pipeline DevSecOps |
La raccomandazione pratica: usa Burp Suite Community per il testing manuale e per imparare le tecniche di web security, perché la sua interfaccia è ottimizzata per il workflow intercettazione-analisi-test. Usa ZAP quando hai bisogno di scan automatici gratuiti o di integrazione in pipeline CI/CD senza licenza Pro.
Consigli avanzati per utenti Burp Suite Professional
Con la Professional Edition a $475 per utente all’anno, si sblocca un set di funzionalità che trasformano Burp da uno strumento manuale a una piattaforma di testing completa.
Burp AI (disponibile dal 2025.2): la funzionalità AI in Repeater suggerisce varianti di payload basandosi sulla risposta del server. L’Explainer analizza le risposte HTTP e spiega in linguaggio naturale le vulnerabilità rilevate. L’AI-enhanced scanner riduce i falsi positivi correlando le segnalazioni con le prove concrete.
Burp Collaborator: un server esterno fornito da PortSwigger che genera URL e host DNS univoci. Quando il server target contatta uno di questi URL (es. durante un test SSRF o XXE), Collaborator registra la richiesta e la mostra in Burp. Questo permette di rilevare vulnerabilità out-of-band che non sarebbero visibili altrimenti nella risposta HTTP.
Salvataggio dei progetti: in Professional, puoi salvare l’intera sessione di testing (HTTP History, scope, note, findings) in un file di progetto .burp. Questo è essenziale per i penetration test che durano più giorni o che vengono eseguiti da team distribuiti.
BApp Store: il marketplace di estensioni per Burp Suite contiene centinaia di plugin. Alcune estensioni particolarmente utili anche in Community Edition:
- Logger++: log avanzato con filtri e colorazione delle richieste
- Autorize: test automatizzato delle autorizzazioni tra ruoli diversi
- JSON Beautifier: formattazione JSON nelle richieste e risposte
- Hackvertor: trasformazioni avanzate dei dati con supporto a custom tag
- Param Miner: scoperta di parametri nascosti nei siti web
L’API Montoya, introdotta nelle versioni recenti, è il framework moderno per sviluppare estensioni Burp in Java, Kotlin o Python. Sostituisce la vecchia Extender API e semplifica enormemente lo sviluppo di plugin personalizzati per automazioni specifiche.
Ambienti di pratica per testare Burp Suite legalmente
Prima di usare Burp Suite su applicazioni reali, è fondamentale esercitarsi su ambienti vulnerabili progettati apposta per il testing. Questi ambienti permettono di testare ogni funzionalità di Burp Suite senza rischi legali e senza danneggiare sistemi produzione.
PortSwigger Web Security Academy
La soluzione più integrata è usare i laboratori di PortSwigger Web Security Academy: applicazioni web vulnerabili in sandbox, accessibili direttamente dal browser. Ogni laboratorio simula una vulnerabilità specifica (SQL injection, XSS, IDOR, SSRF e decine di altre) in un ambiente realistico. L’account è gratuito, la registrazione richiede solo un’email.
DVWA e WebGoat in locale
Per chi preferisce un ambiente completamente locale, DVWA (Damn Vulnerable Web Application) e WebGoat (di OWASP) sono applicazioni web deliberatamente vulnerabili che puoi eseguire sul tuo computer con Docker:
# Avviare DVWA con Docker
docker pull vulnerables/web-dvwa
docker run -d -p 8181:80 vulnerables/web-dvwa
# Poi naviga verso http://localhost:8181 con Firefox + FoxyProxy
# e inizia a intercettare il traffico con Burp Suite
# Avviare WebGoat con Docker (OWASP)
docker pull webgoat/webgoat
docker run -d -p 8080:8080 -p 9090:9090 webgoat/webgoat
# Attenzione: WebGoat usa la porta 8080 di default
# In questo caso modifica il listener di Burp a 8081Insidia comune n. 6: eseguire DVWA o WebGoat sulla porta 8080 crea un conflitto con il listener di Burp Suite. Usa una porta diversa per il tuo ambiente di pratica (8181, 8888) e mantieni Burp in ascolto sulla 8080, oppure cambia la porta del listener di Burp a 8081 e aggiorna FoxyProxy di conseguenza.
Per le sfide CTF, piattaforme come Hack The Box, TryHackMe e PicoCTF offrono macchine e applicazioni web vulnerabili con cui esercitarsi. Burp Suite Community Edition è sufficiente per la grande maggioranza delle sfide di livello base e intermedio su queste piattaforme.
Riepilogo dei 12 step
| Step | Azione | Tempo stimato |
|---|---|---|
| 1 | Scaricare Burp Suite Community Edition 2025.12.5 | 2 min |
| 2 | Installare su Linux, Windows o macOS | 5 min |
| 3 | Installare e configurare FoxyProxy in Firefox | 3 min |
| 4 | Installare il certificato CA di Burp in Firefox | 3 min |
| 5 | Verificare il Proxy Listener su 127.0.0.1:8080 | 1 min |
| 6 | Intercettare il primo traffico HTTP/HTTPS | 5 min |
| 7 | Analizzare HTTP History e definire il Target Scope | 5 min |
| 8 | Usare Repeater per test manuali e SQLi | 15 min |
| 9 | Configurare Intruder per fuzzing dei parametri | 10 min |
| 10 | Decodificare/codificare dati con Decoder | 5 min |
| 11 | Testare SQLi, XSS, IDOR e SSRF | 30 min |
| 12 | Praticare su PortSwigger Web Security Academy | Continuo |
FAQ: Burp Suite
Burp Suite è legale in Italia?
Sì, ma con limitazioni precise. L’uso di Burp Suite è legale per testare sistemi che controlli tu, per sfide CTF e per laboratori didattici come quelli di PortSwigger Academy. Usare Burp Suite per accedere a sistemi senza autorizzazione esplicita è un reato in Italia ai sensi dell’art. 615-ter del Codice Penale (accesso abusivo a sistemi informatici).
Burp Suite Community Edition è davvero gratuita?
Sì. La Community Edition è completamente gratuita e senza limitazioni nel numero di utilizzi. Le limitazioni riguardano le funzionalità: Intruder è rallentato, lo scanner automatico non è disponibile e non è possibile salvare i progetti tra una sessione e l’altra. Per la maggior parte dei test manuali e per il percorso di apprendimento, Community Edition è sufficiente.
Qual è la differenza tra Burp Suite e Wireshark?
Burp Suite lavora a livello applicativo (HTTP/HTTPS) come proxy e permette di intercettare, modificare e ripetere le richieste web. Wireshark cattura tutto il traffico di rete a livello di pacchetto (TCP/IP). Burp Suite è lo strumento ideale per il test di sicurezza delle web app, mentre Wireshark è più utile per l’analisi di protocolli di rete, il troubleshooting e il rilevamento di anomalie di rete.
Posso usare Burp Suite su Android o iOS?
Sì. Configurare Burp come proxy per un dispositivo mobile segue un processo simile: imposta l’IP del tuo computer come proxy HTTP nella configurazione Wi-Fi del dispositivo mobile e usa la stessa porta 8080. Per intercettare traffico HTTPS dalle app mobile, devi installare il certificato CA di Burp anche nel dispositivo mobile, il che su Android richiede di avere accesso root o di usare un’app specifica su versioni recenti di Android.
Quanto costa Burp Suite Professional e vale la pena?
Burp Suite Professional costa $475 per utente all’anno (prezzo aggiornato a gennaio 2026). Vale la pena per chi lavora come penetration tester professionista, perché lo scanner automatico, Burp Collaborator e il salvataggio dei progetti aumentano enormemente la produttività. Per uso didattico o per CTF, la Community Edition gratuita è più che sufficiente.
Come esportare un report da Burp Suite?
In Burp Suite Professional, puoi generare report delle vulnerabilità trovate dallo scanner in formato HTML o XML direttamente dal menu Reporting. In Community Edition, i report automatici non sono disponibili: devi esportare manualmente i finding dall’HTTP History o da Repeater, documentando le prove nei tuoi appunti o in tool dedicati come Dradis o Faraday.
Burp Suite funziona su Kali Linux?
Sì. Burp Suite Community Edition è inclusa di default in Kali Linux ed è disponibile direttamente dal menu Applicazioni nella categoria “Web Application Analysis”. La versione preinstallata non è sempre la più aggiornata, quindi è consigliabile scaricare l’ultima versione direttamente da PortSwigger se hai bisogno delle ultime funzionalità. Maggiori dettagli sulla versione inclusa in Kali si trovano sulla pagina di Burp Suite su Kali.org.
Copertura correlata
Approfondisci la sicurezza delle applicazioni web con queste guide pratiche:
- Protezione CSRF in Node.js: 12 Step per Difendersi dagli Attacchi Cross-Site
- Chiavi SSH Ed25519: Hardening del Server in 12 Step [2026]
- OpenSSL 3.5 LTS: Generare Chiavi e Certificati in 12 Step [2026]
- TOTP 2FA in Node.js: Autenticatore a Due Fattori in 12 Step [2026]
- Rate Limiting in Node.js: API Sicura contro Brute Force in 12 Step [2026]
- Zero-Day Oracle PeopleSoft: CVSS 9.8 e il Rischio per le Istituzioni [2026]
