{"id":303,"date":"2026-06-21T16:55:39","date_gmt":"2026-06-21T16:55:39","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/21\/burp-suite-tutorial-penetration-testing\/"},"modified":"2026-06-21T16:57:12","modified_gmt":"2026-06-21T16:57:12","slug":"burp-suite-tutorial-penetration-testing","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/21\/burp-suite-tutorial-penetration-testing\/","title":{"rendered":"Burp Suite Tutorial: Penetration Testing Web in 12 Step [2026]"},"content":{"rendered":"\n

Burp Suite \u00e8 lo strumento di penetration testing per applicazioni web pi\u00f9 usato al mondo: secondo Landbase, 1.283 aziende verificate lo utilizzano quotidianamente per identificare vulnerabilit\u00e0 prima che lo facciano gli attaccanti. La versione Community Edition \u00e8 gratuita, quella Professional costa 475 dollari per utente all’anno, e permette di trovare oltre 100 categorie di vulnerabilit\u00e0 in modo semi-automatico. Se stai iniziando con il web security testing o vuoi strutturare meglio il tuo workflow di pentesting, questa guida ti mostra come configurare e usare Burp Suite in 12 step concreti, partendo dall’installazione fino all’analisi dei risultati di scansione.<\/p>\n\n\n\n

Importante:<\/strong> Burp Suite deve essere usato esclusivamente su sistemi per i quali hai esplicita autorizzazione scritta<\/strong>. L’uso non autorizzato costituisce reato in Italia ai sensi dell’art. 615-ter e 635-bis del Codice Penale. Questa guida \u00e8 destinata a penetration tester professionisti, studenti di sicurezza informatica, e proprietari di sistemi che testano la propria infrastruttura.<\/p>\n\n\n\n

Prerequisiti: cosa ti serve prima di iniziare<\/h2>\n\n\n\n

Prima di installare Burp Suite, verifica di avere tutti gli elementi necessari. La versione Professional\/Community 2026.1.2 (rilasciata il 27 gennaio 2026) utilizza internamente Java 24.0.2 e Chromium 144.0.7559.97, ma questi componenti vengono installati automaticamente dall’installer ufficiale senza alcuna configurazione manuale.<\/p>\n\n\n\n

Requisito<\/th>Minimo<\/th>Raccomandato<\/th><\/tr><\/thead>
Sistema operativo<\/td>Windows 10, macOS 12, Ubuntu 20.04<\/td>Windows 11, macOS 14, Kali Linux 2025.x<\/td><\/tr>
RAM<\/td>4 GB<\/td>8 GB o pi\u00f9<\/td><\/tr>
Spazio disco<\/td>1 GB<\/td>5 GB (per i log di scansione)<\/td><\/tr>
Browser<\/td>Chromium integrato in Burp<\/td>Firefox con FoxyProxy per flessibilit\u00e0<\/td><\/tr>
Java<\/td>Non richiesto (incluso nell’installer)<\/td>Java 24 incluso automaticamente<\/td><\/tr>
Rete<\/td>Accesso a internet per aggiornamenti<\/td>Ambiente di lab isolato per test<\/td><\/tr>
Autorizzazione<\/td>Scritta dal proprietario del target<\/td>Contratto di pentesting firmato<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Per seguire questa guida avrai bisogno di un’applicazione target su cui esercitarti. PortSwigger mette a disposizione il proprio laboratorio online all’indirizzo portswigger.net\/web-security<\/a> con oltre 250 lab gratuiti progettati appositamente per la pratica legale. Puoi anche usare DVWA (Damn Vulnerable Web Application) in locale tramite Docker.<\/p>\n\n\n\n

Burp Suite Community vs Professional vs Enterprise: quale scegliere<\/h2>\n\n\n\n

PortSwigger offre tre edizioni con funzionalit\u00e0 molto diverse. Dal 6 gennaio 2026 sono entrati in vigore nuovi prezzi globali, quindi verifica sempre il sito ufficiale per le tariffe aggiornate nella tua valuta. I prezzi indicati di seguito riflettono le tariffe in dollari americani.<\/p>\n\n\n\n

Funzionalit\u00e0<\/th>Community (gratuita)<\/th>Professional ($475\/anno)<\/th>Enterprise (da $6.040\/anno)<\/th><\/tr><\/thead>
Proxy HTTP\/HTTPS<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr>
Scanner automatico<\/td>No<\/td>S\u00ec (100+ vulnerabilit\u00e0)<\/td>S\u00ec (scan continui)<\/td><\/tr>
Intruder (velocit\u00e0)<\/td>Limitato (throttling artificiale)<\/td>Illimitato<\/td>Illimitato<\/td><\/tr>
Burp Repeater<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr>
Burp AI (Explore Issue, Explainer)<\/td>No<\/td>S\u00ec (dalla versione 2025.2)<\/td>S\u00ec<\/td><\/tr>
Montoya API per estensioni<\/td>Limitata<\/td>Completa<\/td>Completa<\/td><\/tr>
Scan concorrenti illimitati<\/td>No<\/td>No<\/td>S\u00ec (piano unlimited a $49.999\/anno)<\/td><\/tr>
Integrazione CI\/CD<\/td>No<\/td>Limitata<\/td>Completa<\/td><\/tr>
Report automatici<\/td>No<\/td>HTML\/XML<\/td>HTML\/XML\/API<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Per chi inizia, la Community Edition<\/strong> \u00e8 sufficiente per imparare proxy, repeater e le funzioni manuali. Il limite principale \u00e8 l’Intruder rallentato artificialmente e l’assenza dello scanner automatico. Per professionisti che eseguono test su contratto, la versione Professional<\/strong> a $475\/anno \u00e8 la scelta standard del settore. L’edizione Enterprise<\/strong> si rivolge a team che necessitano di scansioni continue integrate nei pipeline DevSecOps, con costi che salgono fino a $49.999\/anno per il piano con scan illimitati.<\/p>\n\n\n\n

Step 1: Scaricare e installare Burp Suite<\/h2>\n\n\n\n

Vai su portswigger.net\/burp\/pro<\/a> per scaricare la versione Professional o cerca “Burp Suite Community” per la versione gratuita. PortSwigger rilascia installer nativi per Windows (exe), macOS (dmg) e Linux (sh). Su Kali Linux<\/strong>, Burp Suite \u00e8 preinstallato e aggiornabile direttamente tramite il gestore di pacchetti di sistema.<\/p>\n\n\n\n

# Aggiornare Burp Suite su Kali Linux\nsudo apt update && sudo apt install burpsuite -y\n\n# Verificare la versione installata\nburpsuite --version\n\n# Avviare Burp Suite da terminale in background\nburpsuite &<\/code><\/pre>\n\n\n\n
Su Windows e macOS, esegui il file scaricato e segui la procedura guidata. L’installer includer\u00e0 automaticamente la versione corretta di Java (24.0.2 nella release 2026.1.2). Non installare Java separatamente perch\u00e9 potrebbe causare conflitti di versione con quello usato internamente da Burp.<\/p>\n\n\n\n
Alla prima apertura, Burp ti chieder\u00e0 di selezionare il tipo di progetto. Scegli “Temporary project”<\/strong> per iniziare senza salvare lo stato (utile per esplorazioni rapide), oppure “New project on disk”<\/strong> per conservare la sessione e produrre report in seguito. Per i test professionali usa sempre un progetto su disco.<\/p>\n\n\n\n
Step 2: Configurare il proxy HTTP in Burp Suite<\/h2>\n\n\n\n
Il cuore di Burp Suite \u00e8 il proxy HTTP intercettante<\/strong>. Per impostazione predefinita Burp ascolta su 127.0.0.1:8080<\/code>. Devi configurare il tuo browser per instradare il traffico attraverso questo proxy prima di poter intercettare le richieste.<\/p>\n\n\n\n
Hai due opzioni principali per configurare il browser:<\/p>\n\n\n\n
    \n
  1. Browser integrato di Burp (Chromium 144)<\/strong>: vai su Proxy > Intercept > Open Browser<\/code>. Questo browser Chromium \u00e8 gi\u00e0 preconfigurato per passare attraverso il proxy e accetta automaticamente il certificato CA di Burp. Per test rapidi \u00e8 l’opzione pi\u00f9 immediata.<\/li>\n
  2. Firefox con FoxyProxy<\/strong>: installa l’estensione FoxyProxy Standard da Firefox Add-ons, aggiungi un proxy con Host 127.0.0.1<\/code> e Porta 8080<\/code>, poi attivalo con un clic dalla barra degli strumenti quando ti serve.<\/li>\n<\/ol>\n\n\n\n
    Pitfall comune n.1:<\/strong> Lasciare il proxy attivo nel browser dopo aver chiuso Burp Suite causa errori di connessione a tutti i siti. Se il browser smette improvvisamente di caricare pagine web, verifica che il proxy FoxyProxy sia disattivato oppure che Burp Suite sia in esecuzione.<\/p>\n\n\n\n
    Step 3: Installare il certificato CA di Burp per intercettare HTTPS<\/h2>\n\n\n\n
    Per intercettare il traffico HTTPS, Burp Suite agisce come un proxy man-in-the-middle e presenta certificati TLS generati dinamicamente. Il tuo browser deve fidarsi del certificato CA (Certificate Authority) di Burp, altrimenti mostrer\u00e0 avvisi di sicurezza per ogni sito HTTPS e l’intercettazione non funzioner\u00e0 correttamente.<\/p>\n\n\n\n
    # Il certificato CA di Burp \u00e8 disponibile a questi indirizzi\n# (accessibili solo quando il proxy \u00e8 attivo in Burp):\n# http:\/\/burp\n# http:\/\/127.0.0.1:8080\/cert\n\n# Su Linux: importare il certificato nel trust store di sistema\n# utile per testare con curl, wget, e altri strumenti CLI\nwget http:\/\/127.0.0.1:8080\/cert -O burp_ca.der\nopenssl x509 -inform DER -in burp_ca.der -out burp_ca.crt\nsudo cp burp_ca.crt \/usr\/local\/share\/ca-certificates\/burp_ca.crt\nsudo update-ca-certificates\n\n# Verifica che il certificato sia stato importato correttamente\ncurl -s https:\/\/portswigger.net -o \/dev\/null -w \"%{http_code}\"<\/code><\/pre>\n\n\n\n
    In Firefox, vai su Impostazioni > Privacy e sicurezza > Certificati > Visualizza certificati > Autorit\u00e0 > Importa<\/strong> e carica il file burp_ca.der<\/code> scaricato. Spunta “Identifica siti web” e conferma. Da questo momento Firefox si fider\u00e0 di tutti i certificati generati da Burp.<\/p>\n\n\n\n
    Pitfall comune n.2:<\/strong> Dimenticare di importare il certificato CA causa errori SSL su tutti i siti HTTPS nonostante il proxy sia configurato correttamente. Il sintomo tipico \u00e8 un errore “SEC_ERROR_UNKNOWN_ISSUER” in Firefox. La soluzione \u00e8 ripetere l’importazione del certificato e riavviare il browser completamente.<\/p>\n\n\n\n
    Step 4: Intercettare e analizzare le richieste HTTP<\/h2>\n\n\n\n
    Con il proxy configurato, vai alla scheda Proxy > Intercept<\/strong> in Burp. Attiva l’intercettazione con il pulsante “Intercept is on”. Ogni richiesta HTTP\/HTTPS dal browser verr\u00e0 bloccata in Burp prima di essere inviata al server, permettendoti di analizzarla e modificarla.<\/p>\n\n\n\n
    Questo \u00e8 il momento in cui esplori la struttura delle richieste: header HTTP, cookie di sessione, parametri POST, token di autenticazione CSRF, e valori nascosti nei form. Puoi modificare qualsiasi campo prima di inviare la richiesta al server con “Forward”, oppure scartarla con “Drop”.<\/p>\n\n\n\n
    POST \/api\/login HTTP\/1.1\nHost: target-app.esempio.com\nContent-Type: application\/json\nContent-Length: 54\nCookie: session=abc123xyz; csrf_token=def456\n\n{\"username\":\"admin\",\"password\":\"password123\"}<\/code><\/pre>\n\n\n\n
    Nella scheda Proxy > HTTP History<\/strong> trovi l’elenco completo di tutte le richieste intercettate, anche quando l’intercettazione attiva \u00e8 disabilitata. Questa cronologia \u00e8 fondamentale per mappare l’applicazione e identificare endpoint interessanti prima di procedere con test pi\u00f9 approfonditi. Dalla versione 2025.10.1 puoi filtrare la cronologia per ID messaggio usando i filtri Bambda e copiare in blocco dati da pi\u00f9 righe della tabella con la funzione “bulk copy column data”.<\/p>\n\n\n\n
    Step 5: Usare Burp Repeater per il test manuale delle vulnerabilit\u00e0<\/h2>\n\n\n\n
    Il Repeater<\/strong> \u00e8 lo strumento che userai di pi\u00f9 durante un test manuale. Permette di inviare la stessa richiesta HTTP pi\u00f9 volte con modifiche incrementali, osservando come il server risponde a diversi input. \u00c8 indispensabile per verificare manualmente le vulnerabilit\u00e0 trovate automaticamente o sospettate.<\/p>\n\n\n\n
    Per inviare una richiesta al Repeater, fai clic destro su qualsiasi richiesta in HTTP History e seleziona “Send to Repeater”<\/strong> (o premi Ctrl+R<\/code>). Il Repeater apre un pannello diviso con la richiesta modificabile a sinistra e la risposta del server a destra.<\/p>\n\n\n\n
    # Esempio: testare un endpoint di ricerca per SQL injection nel Repeater\n\n# Richiesta originale:\nGET \/api\/prodotti?categoria=elettronica HTTP\/1.1\nHost: target-app.esempio.com\n\n# Test 1: apostrofo singolo per provocare errore SQL\nGET \/api\/prodotti?categoria=elettronica' HTTP\/1.1\n\n# Test 2: condizione sempre vera (boolean-based SQLi)\nGET \/api\/prodotti?categoria=elettronica' OR '1'='1 HTTP\/1.1\n\n# Test 3: time-based SQLi per MySQL (ritardo di 5 secondi)\nGET \/api\/prodotti?categoria=elettronica' AND SLEEP(5)-- HTTP\/1.1<\/code><\/pre>\n\n\n\n
    Dalla versione Professional 2025.5.3, il Repeater integra Burp AI con azioni personalizzate<\/strong>: puoi chiedere all’AI di analizzare la risposta del server, suggerire payload alternativi per bypassare filtri, o spiegare una vulnerabilit\u00e0 trovata in linguaggio semplice. Per accedere a queste funzioni, usa il menu contestuale nel pannello risposta o il pulsante AI nella toolbar del Repeater.<\/p>\n\n\n\n
    Pitfall comune n.3:<\/strong> Dimenticare di aggiornare l’header Content-Length<\/code> dopo aver modificato il corpo di una richiesta POST pu\u00f2 causare errori di parsing sul server o risposte inaspettate. Burp aggiorna automaticamente questo valore se hai abilitato l’opzione “Update Content-Length”<\/strong> nelle impostazioni del Repeater. Verifica sempre che questa opzione sia attiva.<\/p>\n\n\n\n
    Step 6: Eseguire la scansione automatica con Burp Scanner<\/h2>\n\n\n\n
    Il Burp Scanner<\/strong> \u00e8 disponibile solo nella versione Professional e automatizza la ricerca di vulnerabilit\u00e0 nell’intera applicazione web. Identifica oltre 100 categorie di vulnerabilit\u00e0, tra cui tutte quelle dell’OWASP Top 10, SQL injection, XSS, XXE, SSRF, vulnerabilit\u00e0 di business logic, e molte tecniche avanzate.<\/p>\n\n\n\n
    Hai tre modalit\u00e0 principali per avviare una scansione:<\/p>\n\n\n\n
      \n
    1. Scan da URL<\/strong>: vai su Dashboard > New Scan<\/code>, inserisci l’URL del target e configura le opzioni di crawling e audit<\/li>\n
    2. Scan da richiesta specifica<\/strong>: clic destro su una richiesta in HTTP History e seleziona “Scan” per testare solo quell’endpoint<\/li>\n
    3. Scan passivo continuo<\/strong>: Burp analizza automaticamente il traffico che passa per il proxy senza inviare richieste aggiuntive<\/li>\n<\/ol>\n\n\n\n
      Tipo di scansione<\/th>Velocit\u00e0<\/th>Impatto sul server<\/th>Uso consigliato<\/th><\/tr><\/thead>
      Crawl and Audit<\/td>Lenta (ore)<\/td>Alto<\/td>Test completi in ambienti di staging<\/td><\/tr>
      Audit Selected<\/td>Media (minuti)<\/td>Medio<\/td>Verifica di endpoint specifici<\/td><\/tr>
      Passive Only<\/td>Real-time<\/td>Nessuno<\/td>Monitoraggio continuo senza impatto<\/td><\/tr>
      Crawl Only<\/td>Media<\/td>Basso<\/td>Mappatura dell’applicazione prima del test<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      Configurare lo scope prima di scansionare<\/h3>\n\n\n\n
      Lo scope<\/strong> definisce quali URL Burp pu\u00f2 processare durante la scansione. Configurarlo correttamente \u00e8 fondamentale per evitare di inviare richieste non autorizzate a host di terze parti inclusi nell’applicazione (CDN, analytics, API esterne). Vai su Target > Scope<\/code> e aggiungi solo i domini che hai autorizzazione scritta a testare.<\/p>\n\n\n\n
      # Configurazione scope tipica in Burp Suite\n# Includi: dominio principale e sottodomini autorizzati\n# Pattern: https:\/\/target-app.esempio.com\/*\n# Pattern: https:\/\/*.target-app.esempio.com\/*\n\n# Escludi sempre questi path per evitare danni collaterali:\n# Pattern: https:\/\/target-app.esempio.com\/logout\n# Pattern: https:\/\/target-app.esempio.com\/api\/delete-account\n# Pattern: https:\/\/target-app.esempio.com\/api\/send-email\n# Pattern: https:\/\/target-app.esempio.com\/api\/payments\/*<\/code><\/pre>\n\n\n\n
      Pitfall comune n.4:<\/strong> Non configurare lo scope prima di avviare una scansione porta Burp a inviare richieste ai servizi di terze parti presenti nell’applicazione. Questo pu\u00f2 violare i termini di servizio di quei provider e creare problemi legali anche se hai autorizzazione per il dominio principale. Configura sempre lo scope prima di qualsiasi attivit\u00e0 di scansione.<\/p>\n\n\n\n
      Step 7: Usare Burp Intruder per attacchi automatizzati<\/h2>\n\n\n\n
      Il Burp Intruder<\/strong> automatizza l’invio di richieste HTTP con payload variabili, utile per fuzzing di parametri, brute force di credenziali, enumerazione di risorse, e testing di bypass dei controlli di input. Nella versione Professional l’Intruder funziona alla massima velocit\u00e0; nella Community Edition \u00e8 artificialmente rallentato a circa 1 richiesta per secondo.<\/p>\n\n\n\n
      Per configurare l’Intruder, invia una richiesta con “Send to Intruder” (Ctrl+I<\/code>), vai alla scheda Intruder > Positions<\/strong> e seleziona i punti della richiesta dove inserire i payload (evidenziati con il simbolo \u00a7). Poi vai su Intruder > Payloads<\/strong> per caricare la lista di valori da testare.<\/p>\n\n\n\n
      Tipo di attacco Intruder<\/th>Comportamento<\/th>Caso d’uso tipico<\/th><\/tr><\/thead>
      Sniper<\/td>Un payload alla volta, una posizione alla volta<\/td>Fuzzing di un singolo parametro<\/td><\/tr>
      Battering ram<\/td>Lo stesso payload in tutte le posizioni insieme<\/td>Username e password identici<\/td><\/tr>
      Pitchfork<\/td>Payload paralleli sincronizzati su pi\u00f9 posizioni<\/td>Lista username + password corrispondenti<\/td><\/tr>
      Cluster bomb<\/td>Tutte le combinazioni possibili tra le liste<\/td>Brute force (2 liste indipendenti)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      Pitfall comune n.5:<\/strong> Usare Cluster Bomb con liste lunghe genera un numero esponenziale di richieste. Con 1.000 username e 1.000 password si generano 1.000.000 di richieste che su un server reale attivano sicuramente rate limiting, blocchi IP, o alert nei sistemi di monitoraggio del target. Usa Cluster Bomb solo su ambienti lab isolati e con liste brevi durante i test autorizzati.<\/p>\n\n\n\n
      Step 8: Decoder e Comparer per analisi dei dati<\/h2>\n\n\n\n
      Il Decoder<\/strong> converte dati tra formati diversi: Base64, URL encoding, HTML entities, hex, gzip, e altri. \u00c8 utile per analizzare token di sessione, cookie, payload codificati, e qualsiasi stringa che necessita di decodifica durante l’analisi dell’applicazione.<\/p>\n\n\n\n
      # Esempi di operazioni tipiche nel Decoder di Burp Suite\n\n# 1. Decodificare un JWT (JSON Web Token)\n# Token completo:\neyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiYWRtaW4ifQ.HASH\n\n# Dopo decodifica Base64 dell'header (prima parte):\n{\"alg\":\"HS256\",\"typ\":\"JWT\"}\n\n# Dopo decodifica Base64 del payload (seconda parte):\n{\"user\":\"admin\",\"role\":\"user\",\"exp\":1750000000}\n\n# 2. URL-decoding di un parametro codificato\nadmin%27%20OR%20%271%27%3D%271  =>  admin' OR '1'='1\n\n# 3. Encoding HTML per analizzare XSS\n&lt;script&gt;alert(1)&lt;\/script&gt;  =>  <script>alert(1)<\/script><\/code><\/pre>\n\n\n\n
      Il Comparer<\/strong> confronta due risposte HTTP per identificare differenze sottili, utile per distinguere risposte “utente valido” da “utente inesistente” durante l’enumerazione di account, o per verificare quando un payload ha avuto un effetto diverso dalla richiesta normale. Seleziona due richieste in HTTP History, invia entrambe al Comparer con clic destro, poi usa la vista “Words” per vedere le differenze testuali o “Bytes” per differenze binarie.<\/p>\n\n\n\n
      Step 9: Le funzioni AI di Burp Suite nel 2026<\/h2>\n\n\n\n
      Dalla versione Professional 2025.2, Burp Suite integra funzionalit\u00e0 AI direttamente nell’interfaccia. PortSwigger posiziona l’AI come potenziamento del workflow del tester, non come sostituto dell’analisi umana. Le funzioni AI disponibili nel 2026 includono:<\/p>\n\n\n\n