{"id":187,"date":"2026-06-17T09:00:00","date_gmt":"2026-06-17T09:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/17\/burp-suite-tutorial\/"},"modified":"2026-06-17T09:00:00","modified_gmt":"2026-06-17T09:00:00","slug":"burp-suite-tutorial","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/17\/burp-suite-tutorial\/","title":{"rendered":"Burp Suite: Test di Sicurezza Web in 12 Step [2026]"},"content":{"rendered":"\n

Burp Suite<\/strong> \u00e8 lo strumento di riferimento per il test di sicurezza delle applicazioni web: usato da penetration tester, ethical hacker e partecipanti a competizioni CTF in tutto il mondo. La versione Community Edition \u00e8 gratuita e include tutti gli strumenti essenziali per analizzare il traffico HTTP\/HTTPS, manipolare le richieste e scoprire le vulnerabilit\u00e0 pi\u00f9 comuni. La versione Professional, a $475 per utente all’anno, aggiunge lo scanner automatico, Burp AI e il salvataggio dei progetti tra sessioni diverse.<\/p>\n\n\n\n

La versione pi\u00f9 recente al momento della pubblicazione di questa guida \u00e8 la 2025.12.5<\/strong>, rilasciata il 27 gennaio 2026 con il browser Chromium 144.0.7559.97 integrato. PortSwigger pubblica aggiornamenti frequenti, quindi \u00e8 buona pratica controllare la pagina delle release<\/a> prima di iniziare un nuovo engagement.<\/p>\n\n\n\n

Questa guida pratica ti accompagna attraverso 12 step per configurare Burp Suite su qualsiasi sistema operativo, intercettare il primo traffico HTTPS, usare Repeater, Intruder e Decoder, e identificare vulnerabilit\u00e0 reali come SQL injection, XSS, IDOR e SSRF. Segui ogni passaggio nell’ordine in cui \u00e8 presentato: ogni step costruisce sulle basi del precedente. Il tempo complessivo per completare la configurazione e il primo test \u00e8 di circa 30 minuti.<\/p>\n\n\n\n

Prerequisiti<\/h2>\n\n\n\n

Prima di iniziare, verifica di avere tutto il necessario. Burp Suite include Java al suo interno, quindi non \u00e8 necessaria un’installazione separata. Il browser consigliato per questa guida \u00e8 Firefox, che permette una configurazione granulare del proxy senza interferire con il resto del sistema.<\/p>\n\n\n\n

Requisito<\/th>Versione minima<\/th>Note<\/th><\/tr><\/thead>
Sistema operativo<\/td>Windows 10+, macOS 12+, Ubuntu 22.04+<\/td>Burp fornisce installer nativi per tutti e tre<\/td><\/tr>
Browser<\/td>Firefox 120+<\/td>Necessario per FoxyProxy e la gestione del certificato CA<\/td><\/tr>
Java<\/td>Incluso nell’installer<\/td>Nessuna installazione separata richiesta dal 2024<\/td><\/tr>
RAM<\/td>4 GB (8 GB raccomandati)<\/td>Lo scanner Professional richiede pi\u00f9 memoria<\/td><\/tr>
Spazio su disco<\/td>500 MB<\/td>Per l’installer e i log del proxy<\/td><\/tr>
Conoscenze base<\/td>HTTP\/HTTPS, HTML, JSON<\/td>Utile per interpretare le richieste intercettate<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Testare applicazioni web senza autorizzazione esplicita \u00e8 illegale in Italia e in tutta l’Unione Europea. Usa Burp Suite solo su ambienti di test che controlli tu (come DVWA o WebGoat), su piattaforme CTF autorizzate o su sistemi per cui hai un mandato scritto. PortSwigger fornisce laboratori gratuiti su Web Security Academy<\/a> appositamente pensati per la pratica legale.<\/p>\n\n\n\n

Community Edition vs Professional: confronto completo<\/h2>\n\n\n\n

Burp Suite esiste in tre edizioni. La Community Edition \u00e8 gratuita e copre la grande maggioranza dei casi d’uso manuali. La Professional Edition, a $475 per utente all’anno (prezzo aggiornato al 6 gennaio 2026), aggiunge automazione, intelligenza artificiale e la possibilit\u00e0 di salvare i progetti tra una sessione e l’altra. La Enterprise Edition \u00e8 destinata alle grandi aziende con scansioni in scala.<\/p>\n\n\n\n

Funzionalit\u00e0<\/th>Community (gratuita)<\/th>Professional ($475\/anno)<\/th><\/tr><\/thead>
Proxy HTTP\/HTTPS\/WebSocket<\/td>Completo<\/td>Completo<\/td><\/tr>
Repeater<\/td>Completo<\/td>Completo + AI Repeater<\/td><\/tr>
Decoder<\/td>Completo<\/td>Completo<\/td><\/tr>
Comparer<\/td>Completo<\/td>Completo<\/td><\/tr>
Sequencer<\/td>Completo<\/td>Completo<\/td><\/tr>
Intruder<\/td>Limitato (throttled)<\/td>Completo e veloce<\/td><\/tr>
Scanner automatico<\/td>Non disponibile<\/td>Disponibile<\/td><\/tr>
Burp Collaborator (OAST)<\/td>Non disponibile<\/td>Disponibile<\/td><\/tr>
Salvataggio progetto<\/td>Non disponibile<\/td>Disponibile<\/td><\/tr>
Burp AI<\/td>Non disponibile<\/td>Dal 2025.2: AI in Repeater, scanner AI, Explainer<\/td><\/tr>
BApp Store (estensioni Pro)<\/td>Solo estensioni gratuite<\/td>Tutte le estensioni<\/td><\/tr>
Prezzo<\/td>Gratuito<\/td>$475\/utente\/anno<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Per chi inizia, la Community Edition \u00e8 sufficiente per completare questa intera guida e per superare la maggior parte dei laboratori di Burp Suite Academy. Il limite principale \u00e8 l’Intruder throttled: in Community, le richieste automatizzate vengono rallentate artificialmente, rendendo il fuzzing di grandi wordlist impraticabile. Per un pentesting professionale, la Professional Edition \u00e8 indispensabile.<\/p>\n\n\n\n

Step 1: scaricare Burp Suite Community Edition<\/h2>\n\n\n\n

Accedi alla pagina ufficiale di download di Burp Suite Community Edition<\/a> su PortSwigger.net. La versione pi\u00f9 recente al momento della pubblicazione di questa guida \u00e8 la 2025.12.5<\/strong>, rilasciata il 27 gennaio 2026. PortSwigger aggiorna Burp Suite frequentemente: controlla sempre di avere l’ultima versione stabile prima di iniziare un nuovo engagement.<\/p>\n\n\n\n

Scegli l’installer appropriato per il tuo sistema operativo: file eseguibile .exe<\/code> per Windows, pacchetto .dmg<\/code> o .sh<\/code> per macOS, oppure script .sh<\/code> per Linux. Non scaricare Burp Suite da fonti non ufficiali, la firma digitale dell’installer garantisce l’integrit\u00e0 del file. Puoi verificare i release notes di ogni versione sulla pagina delle release di PortSwigger<\/a>.<\/p>\n\n\n\n

Step 2: installare Burp Suite su Linux, Windows e macOS<\/h2>\n\n\n\n

L’installazione varia leggermente a seconda del sistema operativo. Su Windows<\/strong>, esegui il file .exe<\/code> scaricato e segui la procedura guidata: accetta il percorso di installazione predefinito, fai clic su Next<\/em> fino a completamento e poi su Finish<\/em>. Burp Suite apparir\u00e0 nel menu Start.<\/p>\n\n\n\n

Su Linux<\/strong>, lo script di installazione deve essere reso eseguibile prima di poterlo avviare. Apri il terminale nella cartella dove hai scaricato il file e lancia questi comandi:<\/p>\n\n\n\n

# Sostituisci il nome del file con la versione scaricata\nchmod +x burpsuite_community_linux_v2025_12_5.sh\nsudo .\/burpsuite_community_linux_v2025_12_5.sh<\/code><\/pre>\n\n\n\n
Su macOS<\/strong>, apri il file .dmg<\/code> scaricato, trascina Burp Suite nella cartella Applicazioni e avvialo dal Launchpad. Se macOS blocca il file perch\u00e9 proviene da uno sviluppatore non identificato nell’elenco di Apple, vai in Preferenze di Sistema<\/em>, poi Sicurezza e Privacy<\/em>, e clicca su Apri comunque<\/em>.<\/p>\n\n\n\n
Al primo avvio, Burp Suite mostra una finestra di configurazione iniziale. Seleziona Temporary project<\/em> (l’unica opzione disponibile in Community Edition) e poi Use Burp defaults<\/em> nella schermata successiva. Clicca su Start Burp<\/strong> per aprire l’interfaccia principale.<\/p>\n\n\n\n
Step 3: installare e configurare FoxyProxy in Firefox<\/h2>\n\n\n\n
FoxyProxy \u00e8 un’estensione che permette di dirigere il traffico di Firefox verso il proxy di Burp Suite con un semplice clic, senza dover modificare le impostazioni globali del sistema. Questo approccio \u00e8 raccomandato perch\u00e9 consente di attivare e disattivare il proxy in modo selettivo, evitando di intercettare traffico non voluto.<\/p>\n\n\n\n
Installa FoxyProxy Standard dall’elenco dei componenti aggiuntivi di Firefox<\/a>. Dopo l’installazione, clicca sull’icona di FoxyProxy nella barra degli strumenti e seleziona Options<\/em>. Nella schermata di configurazione, crea un nuovo profilo proxy con questi parametri:<\/p>\n\n\n\n
Impostazione<\/th>Valore<\/th><\/tr><\/thead>
Titolo<\/td>Burp Suite<\/td><\/tr>
Tipo<\/td>HTTP<\/td><\/tr>
Host<\/td>127.0.0.1<\/td><\/tr>
Porta<\/td>8080<\/td><\/tr>
Autenticazione<\/td>Nessuna<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Salva il profilo e, per attivare il proxy, clicca sull’icona di FoxyProxy e seleziona il profilo Burp Suite<\/em>. Quando il proxy \u00e8 attivo, tutto il traffico HTTP e HTTPS di Firefox passer\u00e0 attraverso Burp. Per disattivarlo, seleziona Disable FoxyProxy<\/em> dallo stesso menu.<\/p>\n\n\n\n
Step 4: installare il certificato CA di Burp Suite in Firefox<\/h2>\n\n\n\n
Senza il certificato CA di Burp, Firefox mostrer\u00e0 un errore di sicurezza su tutti i siti HTTPS, perch\u00e9 Burp intercetta e ri-firma il traffico TLS con il proprio certificato. L’installazione del certificato CA risolve questo problema e abilita l’intercettazione trasparente del traffico cifrato.<\/p>\n\n\n\n
Con Burp Suite aperto e FoxyProxy attivato su Firefox, segui questa procedura:<\/p>\n\n\n\n
  1. Apri Firefox e naviga verso http:\/\/burpsuite<\/code> oppure http:\/\/127.0.0.1:8080<\/code><\/li>
  2. Clicca su CA Certificate<\/strong> per scaricare il file cacert.der<\/code><\/li>
  3. In Firefox, apri il menu a hamburger e vai in Impostazioni<\/em><\/li>
  4. Cerca “certificati” nella barra di ricerca delle impostazioni<\/li>
  5. Clicca su Visualizza certificati<\/strong><\/li>
  6. Nella scheda Autorit\u00e0<\/strong>, clicca su Importa<\/strong><\/li>
  7. Seleziona il file cacert.der<\/code> scaricato<\/li>
  8. Nella finestra di dialogo, seleziona Considera attendibile questa CA per identificare siti web<\/em><\/li>
  9. Clicca su OK<\/strong><\/li><\/ol>\n\n\n\n
    Da questo momento, Firefox si fider\u00e0 dei certificati generati dinamicamente da Burp Suite per ogni dominio HTTPS che visiti. Puoi verificare che il certificato sia stato importato correttamente cercando “PortSwigger” nell’elenco delle autorit\u00e0 di certificazione.<\/p>\n\n\n\n
    Insidia comune n. 1:<\/strong> molti utenti saltano questo step e si chiedono perch\u00e9 Firefox mostra errori su tutti i siti HTTPS. Il certificato CA va installato una sola volta e rimane valido per tutta la durata dell’installazione di Burp.<\/p>\n\n\n\n
    Step 5: configurare il Proxy Listener<\/h2>\n\n\n\n
    Burp Suite deve essere in ascolto sulla stessa porta che FoxyProxy usa per inviare il traffico. Per impostazione predefinita, Burp ascolta su 127.0.0.1:8080<\/code>, che coincide con la configurazione di FoxyProxy che hai creato nello step 3. Verifica questa configurazione prima di procedere.<\/p>\n\n\n\n
    In Burp Suite, vai nella scheda Proxy<\/strong>, poi in Proxy settings<\/strong> (o Options<\/strong> nelle versioni precedenti). Nella sezione Proxy Listeners<\/em>, dovrebbe gi\u00e0 esistere un listener attivo su 127.0.0.1:8080<\/code>. Se non \u00e8 presente o se vuoi aggiungere un listener su una porta diversa, clicca su Add<\/em> e inserisci:<\/p>\n\n\n\n
    # Configurazione listener Burp Suite\nBind to port: 8080\nBind to address: Loopback only (127.0.0.1)\n\n# Verifica che il listener sia attivo con la spunta verde nella colonna \"Running\"<\/code><\/pre>\n\n\n\n
    Se stai usando Burp Suite su una macchina virtuale e vuoi intercettare il traffico dall’host, cambia l’indirizzo del listener da 127.0.0.1<\/code> all’indirizzo IP dell’interfaccia di rete condivisa tra host e VM. Questo scenario \u00e8 comune nelle sfide CTF con macchine virtualizzate.<\/p>\n\n\n\n
    Insidia comune n. 2:<\/strong> se hai un altro software in ascolto sulla porta 8080 (come un server di sviluppo locale), Burp Suite non riuscir\u00e0 ad avviarsi su quella porta. In questo caso, cambia la porta del listener a 8081 e aggiorna di conseguenza la configurazione di FoxyProxy.<\/p>\n\n\n\n
    Step 6: intercettare il primo traffico HTTP\/HTTPS<\/h2>\n\n\n\n
    Con Burp Suite in esecuzione, FoxyProxy attivato su Firefox e il certificato CA installato, sei pronto per intercettare il primo traffico. Vai nella scheda Proxy<\/strong> di Burp e assicurati che il pulsante Intercept is on<\/strong> sia attivo (sfondo arancione o con testo evidenziato).<\/p>\n\n\n\n
    In Firefox, naviga verso un sito HTTP o HTTPS. Burp Suite catturer\u00e0 immediatamente la richiesta e la mostrer\u00e0 nella scheda Intercept<\/em>. A questo punto puoi:<\/p>\n\n\n\n