Was Burp Suite ist
Burp Suite ist eine Sammlung von Werkzeugen für Web-Security-Tests, entwickelt vom britischen Unternehmen PortSwigger. Das Kernstuück ist ein HTTP/HTTPS-Proxy, der sich zwischen Browser und Webserver schaltet und den gesamten Datenverkehr sichtbar macht.
PortSwigger vertreibt Burp Suite in zwei relevanten Versionen:
- Community Edition: kostenlos, alle Kernmodule vorhanden, Intruder gedrosselt - für Lernende vollständig ausreichend
- Professional Edition: kostenpflichtig, vollständiger Intruder, aktiver Scanner, Collaborator - relevant für professionelle Pentester
Burp Suite läuft auf Windows, macOS und Linux. Es ist Java-basiert und benötigt eine laufende JVM. PortSwigger liefert seit einigen Versionen einen eingebetteten Installer mit.
Was ein Web Proxy ist und wozu er dient
Ein Web Proxy ist ein Mittler, der sich zwischen zwei Kommunikationspartner schaltet - in diesem Fall zwischen deinen Browser und den Webserver. Statt dass der Browser direkt mit dem Server spricht, schickt er den Request an Burp, das ihn weiterleitet. Die Antwort des Servers kommt zurück zu Burp und wird dann an den Browser weitergegeben.
Dieses transparente Beobachten hat mehrere Konsequenzen:
- Du siehst exakt, was der Browser sendet - inklusive aller Header, Cookies und Body-Inhalte
- Du kannst Requests anhalten (intercepten) und verändern, bevor sie den Server erreichen
- Du kannst gespeicherte Requests jederzeit wiederholen und dabei Parameter verändern
- Du baust ein genaues Modell davon auf, wie Webanwendungen intern funktionieren
Für HTTPS-Traffic entschlüsselt Burp den Inhalt mit einem eigenen CA-Zertifikat. Dazu muss der Browser diesem Zertifikat vertrauen - deswegen wird es nur im dedizierten Lab-Browser-Profil installiert.
Request und Response in Burp lesen
Wenn du einen Request im Proxy-Tab siehst, besteht er aus mehreren Teilen. Das Lesen dieser Struktur ist eine der wichtigsten Grundfertigkeiten in der Web-Security.
| Bereich | Bedeutung | Beispiel |
|---|---|---|
| Methode | Art der Anfrage | GET, POST, PUT, DELETE, PATCH |
| Pfad | Ziel-URL auf dem Server | /api/users/42 |
| HTTP-Version | Protokollversion | HTTP/1.1 oder HTTP/2 |
| Host-Header | Ziel-Domain | example.com |
| Cookie-Header | Session- und Auth-Tokens | session=abc123; csrftoken=xyz |
| Authorization-Header | Bearer- oder Basic-Auth | Bearer eyJhbGci... |
| Content-Type | Format des Body | application/json, multipart/form-data |
| Request-Body | Gesendete Daten | JSON, URL-encoded, Multipart |
| Statuscode (Response) | Ergebnis der Anfrage | 200 OK, 302 Found, 403 Forbidden, 500 Error |
| Response-Header | Metadaten der Antwort | Set-Cookie, Location, Content-Length |
| Response-Body | Zurückgelieferte Daten | HTML, JSON, XML, Binary |
Wer diese Felder lesen kann, versteht Authentifizierungs-Flows, Session-Verwaltung und API-Kommunikation auf einer Ebene, die kein Browser-DevTool in dieser Klarheit zeigt.
Wie Burp beim Web-Security-Lernen hilft
Der größte Lerneffekt von Burp ist das direkte Beobachten: Du klickst auf einen Login-Button und siehst sofort, welche Daten der Browser wirklich schickt. Diese Unmittelbarkeit zwischen Aktion und sichtbarem HTTP-Request beschleunigt das Verständnis von Webanwendungen erheblich.
Die Lernkurve ist flach am Anfang, wird aber steiler, je tiefer man in die Module einsteigt. Für Einsteiger reichen Proxy-Tab und Repeater völlig aus. PortSwigger stellt mit der Web Security Academy einen kostenlosen, strukturierten Kurs bereit, der direkt auf Burp aufbaut. Jede Lerneinheit enthält eine interaktive Lab-Umgebung - kein eigenes Setup nötig. Das macht die Academy zum idealen Einstieg.
- PortSwigger Web Security Academy: kostenlos, strukturiert, direkt mit Burp verknüpft
- OWASP Juice Shop lokal: eigene Umgebung, kein Risiko, viele realistische Szenarien
- TryHackMe und HackTheBox: gamifizierte Labs mit Burp-spezifischen Challenges
- Eigene kleine Web-App: maximale Kontrolle und Lerntiefe
Module im Überblick
Burp Suite besteht aus mehreren spezialisierten Modulen. Alle haben legitime Einsatzzwecke in Lern- und Test-Kontexten - keines davon darf gegen Systeme eingesetzt werden, für die keine Genehmigung vorliegt.
| Modul | Funktion | Legaler Lernkontext |
|---|---|---|
| Proxy | Alle HTTP/HTTPS-Requests abfangen, anzeigen, pausieren und weiterleiten | Jeden Lab-Traffic beobachten; verstehen, welche Daten eine App sendet |
| Repeater | Einzelne Requests manuell verändern und beliebig oft neu senden | In Labs testen, wie ein Server auf veraenderte Parameter reagiert |
| Intruder | Requests automatisiert mit variierenden Werten senden (Fuzzing, Payloads) | In CTF/Lab-VMs: Payloadlisten testen; Community-Version gedrosselt |
| Decoder | Daten in gängige Kodierungen umrechnen (Base64, URL, Hex, HTML-Entities) | Tokens und kodierte Werte aus Requests entschlüsseln und verstehen |
| Comparer | Zwei Requests oder Responses bytegenau gegenüberstellen | Unterschiede in Antworten erkennen, z.B. bei Session-Analyse im Lab |
| Logger | Vollständiges Protokoll aller Requests und Responses mit Zeitstempeln | Nachvollziehen, welche Requests eine App im Hintergrund sendet |
| Target / Site Map | Strukturierte Ansicht aller besuchten URLs und Endpunkte | Applikationsstruktur im Lab kartieren und verstehen |
| Organizer | Notizen und Annotationen zu Requests speichern | Lernfortschritt dokumentieren, Findings in Labs festhalten |
Einsatz ausschließlich in Labs, CTFs, eigenen Anwendungen oder autorisierten Tests
Burp Suite ist ein mächtiges Werkzeug. Mächtigkeit bringt Verantwortung: Der Einsatz gegen Systeme ohne ausdruckliche Genehmigung des Betreibers ist in Deutschland strafbar - auch wenn du nur beobachten willst, auch wenn du nichts veränderst, auch wenn keine offensichtliche Schadabsicht besteht.
Erlaubte Kontexte ohne Einschränkung:
- Eigene Webanwendungen, die du selbst betreibst und kontrollierst
- Lokale Lab-Umgebungen (Juice Shop, DVWA, VulnHub-VMs) ohne externen Internetzugang
- PortSwigger Web Security Academy - die Labs sind explizit für genau diesen Zweck gebaut
- CTF-Challenges auf Plattformen wie TryHackMe, HackTheBox oder PicoCTF
- Bug-Bounty-Programme - aber ausschließlich innerhalb des schriftlich definierten Scope
Der entscheidende Unterschied: Eine schriftliche Genehmigung des Systembetreibers ist nicht verhandelbar. Mündliche Absprachen oder die Annahme, dass jemand schon einverstanden sein wird, genügen nicht.
Unterschied: Lernen, Testen und unerlaubter Angriff
Viele Einsteiger unterschätzen, wo die Grenze liegt. Diese Tabelle gibt Orientierung - sie ersetzt keine Rechtsberatung, aber sie macht die Logik dahinter sichtbar.
| Kontext | Erlaubt? | Begründung |
|---|---|---|
| Juice Shop lokal, kein Internetzugang | Ja | Eigene Umgebung, kein Dritter betroffen |
| PortSwigger Academy Lab | Ja | Betreiber hat Nutzung explizit zugelassen |
| CTF-Maschine auf TryHackMe/HackTheBox | Ja, innerhalb der Plattformregeln | Plattform stellt Maschinen explizit für Tests bereit |
| Bug-Bounty-Programm, In-Scope-URL | Ja, mit Einschränkungen | Schriftliche Genehmigung im Scope-Dokument des Programms |
| Eigene produktive Website | Grundsätzlich ja, aber Vorsicht | Echte Nutzer und Daten können betroffen sein - Staging bevorzugen |
| Webseite eines Bekannten ohne Rücksprache | Nein | Keine Genehmigung - auch Beobachten genügt für Strafbarkeit |
| Öffentliche Website zum reinen Lernen | Nein | Keine Genehmigung; Absicht schützt nicht vor Strafbarkeit |
| Bug-Bounty-Programm, Out-of-Scope-URL | Nein | Scope-Grenzen sind verbindlich, kein Ermessensspielraum |
Burp im eigenen Lab aufsetzen - Konzept
Ein sauberes Lab-Setup schützt dich und andere. Das Grundkonzept:
- Dediziertes Browser-Profil erstellen (z.B. Firefox mit separatem Profil) - niemals den Alltagsbrowser nutzen
- Proxy im Lab-Browser auf 127.0.0.1:8080 setzen - nur für dieses Profil
- Burps CA-Zertifikat ausschließlich in diesem Lab-Profil importieren
- Scope in Burp festlegen (Target > Scope), damit nur Lab-Traffic erfasst wird
- Lab-VMs in einem isolierten Netzwerksegment betreiben - kein direkter Internetzugang der VM
- Nach der Übung: Browser-Profil schließen, Proxy-Einstellung deaktivieren
Das CA-Zertifikat ist der kritischste Punkt: Im Alltagsbrowser würde es bedeuten, dass Burp saemtlichen HTTPS-Traffic entschlüsseln kann - inklusive Banking, E-Mail, Passwörter. Im Lab-Profil ist es bewusst und gezielt - im Alltagsbrowser ist es ein Sicherheitsrisiko.
Diese Seite liefert bewusst keine Schritt-für-Schritt-Anleitung zum Ausnutzen von Schwachstellen. Ziel ist es, das Beobachten und Verstehen von HTTP-Traffic zu lernen - nicht das Ausnutzen.
Typische Anfängerfehler
Diese Fehler begegnen fast jedem am Anfang. Wer sie kennt, vermeidet sie von Beginn an.
| Fehler | Warum problematisch | Besserer Ansatz |
|---|---|---|
| Burp im Alltagsbrowser nutzen | Sämtlicher privater Traffic läuft durch den Proxy - Passwörter, Banking, E-Mails sichtbar | Immer ein dediziertes Lab-Browser-Profil verwenden |
| CA-Zertifikat dauerhaft im Hauptbrowser installieren | Dauerhaftes Sicherheitsrisiko; bei laufendem Burp ist HTTPS nur noch HTTP | Zertifikat nur im Lab-Profil; nach Übung Profil schließen |
| Bug-Bounty ohne Scope-Check starten | Out-of-Scope-Requests können strafbar sein, selbst bei guten Absichten | Scope-Dokument des Programms vollständig lesen, bevor ein einziger Request gesendet wird |
| Repeater-Massensends gegen Live-Systeme | Selbst in erlaubten Programmen können viele Requests DoS-artige Wirkung haben | Repeater gezielt und in geringer Frequenz einsetzen; Intruder nur in Labs |
| Kein Scope in Burp gesetzt | Alle Hintergrundanfragen des Browsers (Werbung, Analytics) landen im Proxy | Scope im Target-Tab konfigurieren - nur Lab-URLs eintragen |
| Kein Logging und keine Notizen | Lerneffekte gehen verloren; bei Bug-Bounty fehlt Dokumentation des Vorgehens | Findings mit Organizer annotieren und als Write-Up festhalten |
| Intercept vergessen anzulassen | Requests fließen durch ohne Chance zur Inspektion - Lernmomente verpasst | Intercept bewusst ein- und ausschalten; Logger als passiven Fallback nutzen |
| Burp als Beweis für eine Schwachstelle einsetzen ohne Reproduzierbarkeit | Ein einmaliger Fund ohne reproduzierbaren Beweis hat keinen Wert im Bug-Bounty | Immer prüfen, ob der Fund reproduzierbar ist, und den Weg dokumentieren |
Wann Burp NICHT das richtige Werkzeug ist
Burp ist spezialisiert auf HTTP/HTTPS-Traffic von Webanwendungen. Es gibt Szenarien, in denen andere Werkzeuge besser geeignet sind:
- Netzwerkanalyse (nicht-HTTP): Wireshark oder tcpdump sind geeigneter
- Automatisiertes Scanning ganzer Netzwerke: Nmap oder spezialisierte Scanner
- Statische Code-Analyse: SAST-Tools wie Semgrep oder SonarQube
- Mobile Apps (nativer Protokollstack): Frida oder spezialisierte Mobile-Proxy-Tools
- Kryptographische Analyse: Kein HTTP-Proxy-Tool ersetzt tiefes Krypto-Verständnis
- Wenn kein Scope, keine Genehmigung und keine eigene Umgebung vorhanden: Dann kein Burp - und kein anderes Angriffswerkzeug
Lernziele
Lernziele
- 1Erklären können, was ein HTTP-Proxy ist und wie Burp Suite sich zwischen Browser und Server schaltet
- 2Einen Request in Burp lesen und die Felder (Methode, Header, Cookie, Body) benennen und interpretieren können
- 3Die sechs Kernmodule (Proxy, Repeater, Intruder, Decoder, Comparer, Logger) und ihre jeweiligen Zwecke kennen
- 4Den Unterschied zwischen erlaubtem Lernen im Lab, autorisiertem Testing und unerlaubtem Angriff benennen können
- 5Ein sicheres Lab-Setup mit dediziertem Browser-Profil und korrekter CA-Zertifikat-Handhabung konzipieren können
- 6Die typischen Anfängerfehler kennen und erklären können, warum sie problematisch sind
- 7Wissen, welche Lernressourcen (PortSwigger Academy, Juice Shop, CTF-Plattformen) legal und gezielt genutzt werden können
Praxisbezug
Eine empfehlenswerte erste Übung: Installiere OWASP Juice Shop lokal (Docker: docker run -p 3000:3000 bkimminich/juice-shop), konfiguriere deinen Lab-Browser mit Burp als Proxy und besuche die Anwendung.
Beobachte im Proxy-Tab, welche Requests beim Login gesendet werden: Welche Felder enthält der Body? Welcher Cookie wird in der Response gesetzt? Schicke den Login-Request mit dem Repeater nochmals - was ändert sich, wenn du den Password-Wert veränderst? Was antwortet der Server?
Ziel dieser Übung ist ausschließlich das Beobachten und Verstehen der HTTP-Kommunikation - kein Exploit, kein Einbruch, nur Lesen. Halte deine Beobachtungen in einem kurzen Write-Up fest.
Legal-Hinweis
Burp Suite darf ausschließlich in eigenen Umgebungen, lokalen Labs, explizit dafür vorgesehenen CTF-Plattformen oder im Rahmen autorisierter Tests (schriftliche Genehmigung) eingesetzt werden. Der Einsatz gegen fremde Systeme ohne Genehmigung ist strafbar - unabhaengig von der Absicht. Mehr dazu auf /recht-ethik/was-ist-erlaubt.
Nächste Lernschritte
FAQ
Community Edition oder Pro - lohnt sich der Kauf?
+
Für die meisten Lernenden genügt die kostenlose Community Edition vollständig. Der Intruder ist in der Community-Version gedrosselt, reicht aber für Lernübungen aus. Die Professional Edition (kostenpflichtig) lohnt sich erst, wenn du regelmäßig professionelle Penetrationstests durchfuehrst oder fortgeschrittene Scanner-Features benoettigst. Starte mit Community und upgrade erst, wenn du einen konkreten Bedarf erkennst.
Wo kann ich legal mit Burp Suite üben?
+
Die sichersten Optionen: PortSwigger Web Security Academy (kostenlos, speziell für Burp konzipiert), OWASP Juice Shop lokal im eigenen Netzwerk, DVWA (Damn Vulnerable Web Application) als lokale VM, TryHackMe- oder HackTheBox-Maschinen im dafür vorgesehenen Lab-Netz. Niemals Burp gegen fremde Websites einsetzen - auch nicht zum blossen Beobachten ohne Erlaubnis.
Brauche ich Programmierkenntnisse für Burp Suite?
+
Zum Einstieg nicht. Du kannst Requests lesen, modifizieren und wiederholen, ohne eine einzige Zeile Code zu schreiben. Grundlegendes HTTP-Verständnis (Methoden, Header, Statuscodes) ist hilfreicher als Programmierkenntnisse. Später werden Python-Kenntnisse nuetzlich, wenn du eigene Burp-Extensions schreiben oder Ergebnisse automatisiert auswerten willst.
Burp Suite vs. OWASP ZAP - welches Tool ist besser?
+
Beide sind valide Werkzeuge. Burp Suite ist Branchenstandard in der professionellen Pentest-Welt und hat eine große Lern-Community rund um PortSwigger Academy. OWASP ZAP ist vollständig Open Source und hat keinen gedrosselten Automations-Modus. Zum Lernen sind beide geeignet - Burp bietet durch die Academy mehr begleitetes Material.
Warum muss ich ein CA-Zertifikat installieren, und ist das sicher?
+
HTTPS-Traffic ist verschlüsselt. Damit Burp als Proxy zwischen Browser und Server den Inhalt lesen kann, entschlüsselt es den Traffic mit einem eigenen Zertifikat (Man-in-the-Middle im Lab). Dazu muss der Browser Burps CA-Zertifikat vertrauen. Das ist im dedizierten Lab-Profil sicher und gewollt - aber niemals im Alltagsbrowser, weil dann sämtlicher normaler HTTPS-Traffic entschlüsselt werden könnte.
Was tue ich, wenn ich versehentlich Out-of-Scope-Requests schicke?
+
Sofort stoppen. Notiere Zeitpunkt, URL und was genau gesendet wurde. Falls du im Rahmen eines Bug-Bounty-Programms arbeitest, melde den Vorfall proaktiv an das Programm - die meisten Programme haben Meldeprozesse dafür. Lege in Burp immer vorher den Scope fest (Target > Scope), damit Burp Out-of-Scope-Requests automatisch blockiert oder markiert. Unwissenheit schützt nicht vor rechtlichen Konsequenzen.